I ricercatori di Sophos hanno segnalato un nuovo e preoccupante malware, sfruttato dai cybercriminali per disattivare gli antivirus e infettare i dispositivi con un ransomware.
Il nuovo strumento nelle mani dei criminali informatici è stato creato per eliminare gli EDR (Endpoint Detection and Response) e, proprio per questo motivo, è stato battezzato EDRKillShifter.
Stando alle prime indagini, questo è stato utilizzato da un gruppo RansomHub, nonostante Sophos afferma come facilmente lo strumento sia stato già utilizzato anche da altri collettivi di cybercriminali. Ciò lascerebbe intuire che EDRKillShifter può rientrare nell’ambito dei Malware-as-a-Service (MaaS) e che probabilmente viene proposto sul Dark Web.
L’analisi dei ricercatori ha evidenziato come il malware sia un loader capace di rilasciare driver legittimi che risultano però vulnerabili. Questa pratica, definita dagli esperti come “Bring Your Own Vulnerable Driver” è diffusa da anni nell’ambiente del crimine informatico.
EDRKillShifter si infiltra nei dispositivi attraverso un driver vulnerabile
Il modus operandi dei cybercriminali è standard per questo tipo di campagna. Una volta che il driver facile da compromettere è stato scaricato e attivato sul sistema operativo, questo viene sfruttato come una breccia per installare ransomware e non solo. Il tutto aggirando eventuali antivirus attivi sul dispositivo.
Per contrastare EDRKillShifter e attacchi simili, Sophos ha fornito diversi consigli preziosi per gli utenti. Oltre a scegliere un antivirus affidabile e a mantenere lo stesso aggiornato, può essere utile attivare eventuali sistemi antimanomissione integrati.
Per quanto concerne il contesto aziendale, gli esperti consigliano grande attenzione per i privilegi offerti ai vari utenti. Nello specifico, è consigliabile affidare quelli più elevati solo a personale con grande esperienza a livello di cybersecurity. Infine, mantenersi aggiornati sui rischi emergenti è sempre utile, soprattutto nell’ambito lavorativo, per evitare veri e propri disastri.