Felismerhetetlen támadások
Az EDRKillShifter legújabb verziója gyakran a HeartCrypt szolgáltatással van „becsomagolva”, ami még nehezebbé teszi a detektálást. Előfordult, hogy a támadók teljesen legális szoftverek – például az Összehasonlítás (Beyond Compare) egyik eszközébe – rejtették el a rosszindulatú kódot, így a gyanútlan felhasználók maguk telepítették a vírust.
Összefogás a zsarolóvírusos csoportok között
A Sophos szakértői szerint több kiberbanda is átveszi és fejleszti ezt az új EDR-lekapcsoló trükköt, ami a bűnbandák közötti aktív együttműködésre utal. Jellemző, hogy a támadás során először adminisztrátori jogokat próbálnak szerezni, majd egy már meglévő, de sebezhető programot helyben módosítanak, rosszindulatú részekkel bővítve azt.
Mi védi meg a gépet?
A legjobb védekezés a biztonsági szoftverek manipuláció elleni védelmének bekapcsolása, a Windows-fiókok szigorú kezelése és a rendszeres frissítés, mivel a régi, sérülékeny drivereket a Microsoft már fokozatosan érvényteleníti.
