Fidye Yazılımı Aktörleri, EDR Katil Taktiklerini Savunmasız Sürücülerin Ötesine Taşıyor

Fidye yazılımı saldırganları, uç nokta güvenliğini ortadan kaldırmaya yönelik yaklaşımlarını genişletti ve savunmasız sürücüleri istismar etme tekniğinin çok ötesine geçti. Yıllardır, Bring Your Own Vulnerable Driver (BYOVD) yöntemi, saldırganların dosya şifreleme yüklerini başlatmadan önce güvenlik araçlarını devre dışı bırakmalarının birincil yoluydu. Bugün, tehdit aktörlerinin artık komut dosyası tabanlı araçları dağıtması, meşru anti – rootkit yazılımını kötüye kullanması ve şifreleme başlamadan önce güvenlik ürünlerini susturmak için tamamen sürücüsüz yöntemler kullanmasıyla bu resim çok daha karmaşık hale geldi. Vardiya, önemli bir operasyonel önceliği yansıtıyor: fidye yazılımı bağlı kuruluşları, şifrelerini durdurulmadan çalıştırmak için kısa ve güvenilir bir pencereye ihtiyaç duyuyor. Saldırganlar, şifreleyicileri güvenlik yazılımlarına karşı görünmez kılmaya çalışmak yerine — zor ve zaman alıcı bir görev — güvenlik korumasını tamamen yok etmeyi tercih ediyor. Bu, EDR katillerini, neredeyse her modern fidye yazılımı saldırısının merkezi bir parçası olan uç nokta algılama ve yanıt yazılımını devre dışı bırakmak için özel olarak tasarlanmış araçlar haline getirir. ESET telemetrisine ve gerçek olay araştırmalarına dayanan araştırmalar, bu eğilimin hem büyük hem de küçük fidye yazılımı gruplarında hızlandığını doğrulamaktadır. WeLiveSecurity analistleri, bugün faaliyet gösteren neredeyse her fidye yazılımı çetesini kapsayan, vahşi doğada aktif olarak kullanılan 90 'a yakın EDR katilini belirledi ve izledi. Bunların 54 'ü 35 farklı savunmasız sürücüyü kötüye kullanan BYOVD tabanlı araçlardır, 7' si komut dosyası tabanlı ve 15 'i meşru anti – rootkit veya ücretsiz olarak kullanılabilen yazılımları kötüye kullanmaktadır. Araştırma, EDR katil ekosisteminin, bu araçların çok çeşitli güvenlik sağlayıcılarını hedeflemek için satın alındığı, satıldığı ve uyarlandığı yapılandırılmış, ticari olarak yönlendirilen bir pazara dönüştüğünü açıkça ortaya koymaktadır. Bu değişimin etkisi ciddi. Mağdurlar, şifreleyici çalışmadan önce güvenlik araçlarının işe yaramaz hale getirildiği saldırılarla karşı karşıyadır.