ЭКСКЛЮЗИВ: 54 УБИЙЦЫ EDR ВЗЛАМЫВАЮТ ЗАЩИТУ ЧЕРЕЗ УЯЗИМЫЕ ДРАЙВЕРЫ
Новый фронт в кибервойне открыт: 54 специализированных инструмента для уничтожения систем защиты (EDR killers) активно используют опасную тактику BYOVD. Они эксплуатируют 35 уязвимых, но легитимно подписанных драйверов, чтобы полностью отключить кибербезопасность на атакованных компьютерах. Это не просто вредоносное ПО, это хирургический инструмент для подготовки масштабных атак.
Эти "убийцы" стали стандартным арсеналом в руках вымогателей. Перед развертыванием основного ransomware-шифровальщика злоумышленники нейтрализуют все средства защиты. Такой подход делает фишинг и последующие эксплойты невидимыми, а утечку данных — почти неизбежной. Проще убить сторожа, чем незаметно пройти мимо него.
"Группы вымогателей, особенно по модели RaaS, постоянно обновляют шифровальщики. Но сделать каждый новый билд невидимым для EDR — сложно и долго", — отмечает эксперт по безопасности. "Гораздо эффективнее запустить внешний компонент, который просто отключит все системы контроля одним ударом".
Подавляющее большинство этих инструментов полагается на легитимные драйверы с 0-day уязвимостями для получения привилегий ядра системы (Ring 0). Имея такой уровень доступа, злоумышленники могут безнаказанно завершать процессы EDR, отключать защиту и манипулировать самой операционной системой. Это грубый подрыв доверительной модели Microsoft.
Почему это касается каждого? Потому что под угрозой оказывается даже безопасность блокчейн-инфраструктур и крипто-активов. Если злоумышленник получает полный контроль на уровне ядра, никакое шифрование не спасет данные. Отрасль стоит на пороге новой волны изощренных атак, где традиционные меры могут оказаться бесполезны.
Ожидайте резкого роста сложных цепочек взлома, где фишинг будет лишь первым шагом к полному захвату устройства через уязвимые драйверы. Битва за ядро системы только началась.
