Les opérateurs de ransomwares RansomHub déploient désormais de nouveaux logiciels malveillants pour désactiver le logiciel de sécurité EDR (Endpoint Detection and Response) dans les attaques BYOVD (Bring Your Own Vulnerable Driver).

Nommé EDRKillShifter par les chercheurs en sécurité de Sophos qui l’ont découvert lors d’une enquête sur un ransomware en mai 2024, le malware déploie un pilote légitime et vulnérable sur les appareils ciblés pour augmenter les privilèges, désactiver les solutions de sécurité et prendre le contrôle du système.

Cette technique est très populaire parmi divers acteurs de la menace, allant des gangs de ransomwares motivés financièrement aux groupes de piratage soutenus par l’État.

« Lors de l’incident de mai, les auteurs de la menace – nous estimons avec une confiance modérée que cet outil est utilisé par plusieurs attaquants — ont tenté d’utiliser EDRKillShifter pour mettre fin à Sophos Protection sur l’ordinateur ciblé, mais l’outil a échoué », a déclaré Andreas Klopsch, chercheur en menaces chez Sophos.

« Ils ont ensuite tenté d’exécuter l’exécutable du ransomware sur la machine qu’ils contrôlaient, mais cela a également échoué lorsque la fonction CryptoGuard de l’agent de point de terminaison a été déclenchée. »

En enquêtant, Sophos a découvert deux échantillons différents, tous deux avec des exploits de validation de principe disponibles sur GitHub: l’un exploitant un pilote vulnérable appelé RentDrv2 et un autre exploitant un pilote appelé ThreatFireMonitor, un composant d’un package de surveillance du système obsolète.

Sophos a également découvert qu’EDRKillShifter peut fournir diverses charges utiles de pilotes en fonction des besoins des attaquants et que la propriété linguistique du malware suggère qu’il a été compilé sur un ordinateur avec une localisation en russe.

Aperçu du processus d’exécution du chargeur

L’exécution du chargeur implique trois étapes: d’abord, l’attaquant lance le binaire EDRKillShifter avec une chaîne de mot de passe pour déchiffrer et exécuter une ressource intégrée nommée BIN en mémoire. Ce code décompresse et exécute ensuite la charge utile finale, qui supprime et exploite un pilote légitime vulnérable pour augmenter les privilèges et désactiver les processus et services EDR actifs.

« Une fois que le logiciel malveillant a créé un nouveau service pour le pilote, démarré le service et chargé le pilote, il entre dans une boucle sans fin qui énumère en permanence les processus en cours d’exécution, mettant fin aux processus si leur nom apparaît dans une liste codée en dur de cibles », a ajouté Klopsch.

« Il convient également de noter que les deux variantes exploitent des pilotes légitimes (bien que vulnérables), en utilisant des exploits de validation de principe disponibles sur Github. Nous soupçonnons que les auteurs de menaces ont copié des parties de ces preuves de concept, les ont modifiées et ont porté le code vers le langage Go. »

Sophos recommande d’activer la protection contre la falsification dans les produits de sécurité des terminaux, de maintenir une séparation entre les privilèges utilisateur et administrateur pour empêcher les attaquants de charger des pilotes vulnérables et de maintenir les systèmes à jour, étant donné que Microsoft continue de décertifier les pilotes signés connus pour avoir été mal utilisés lors d’attaques précédentes.

L’année dernière, Sophos a repéré un autre malware destructeur d’EDR, baptisé AuKill, qui abusait d’un pilote d’Explorateur de processus vulnérable dans les attaques de ransomware Medusa Locker et LockBit. AuKill est similaire à un outil open source connu sous le nom de Backstab, qui exploite également un pilote d’explorateur de processus vulnérable et a été utilisé par le gang LockBit dans au moins une attaque observée par Sophos X-Ops.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *