Les opérateurs du groupe de ransomware connu sous le nom de RansomHub, emploient un nouveau malware appelé EDRKillShifter qui cible le logiciel de sécurité Endpoint Detection and Response (EDR).

Ce malware déploie chez la victime un pilote légitime mais vulnérable pour ensuite élever les privilèges, désactiver les processus liés aux solutions de sécurité et prendre le contrôle du système. 😱 La technique se nomme Bring Your Own Vulnerable Driver (BYOVD) et elle est populaire parmi divers acteurs malveillants.

💡 Les chercheurs en sécurité de Sophos ont découvert EDRKillShifter lors d’une enquête sur une attaque par rançongiciel en mai 2024 et constaté que ce malware pouvait fournir différentes charges utiles de pilotes en fonction des besoins des attaquants.

Ce n’est pas la première fois que Sophos découvre un malware éliminant l’EDR. Rappelons-nous d’AuKill, qui a été utilisé dans les attaques de ransomware Medusa Locker et LockBit. 🤔

✅ Sophos recommande d’activer la protection contre les altérations de l’EDR, de séparer les privilèges utilisateur et administrateur et de maintenir les systèmes à jour pour empêcher de telles attaques.