已经观察到一个与 RansomHub 勒索软件有链接的网络犯罪集团使用一种新工具，该工具旨在终止受感染主机上的端点检测和响应 （EDR） 软件，加入 AuKill（又名 AvNeutralizer）和 Terminator 等其他类似程序的行列。

网络安全公司 Sophos 将 EDR 杀死工具称为 EDRKillShifter，该公司在 2024 年 5 月的一次失败的勒索软件攻击中发现了该工具。

安全研究员Andreas Klopsch说：“EDRKillShifter工具是一个’加载器’可执行文件–一种容易被滥用的合法驱动程序的交付机制（也称为’自带易受攻击的驱动程序’或BYOVD工具）。“根据威胁参与者的要求，它可以提供各种不同的驱动程序有效载荷。”

RansomHub 疑似是 Knight 勒索软件的更名，于 2024 年 2 月浮出水面，利用已知的安全漏洞获得初始访问权限并丢弃 Atera 和 Splashtop 等合法远程桌面软件以进行持续访问。

上个月，Microsoft 透露，臭名昭著的电子犯罪集团 Scattered Spider 已将 RansomHub 和 Qilin 等勒索软件菌株纳入其武器库。

通过命令行和密码字符串输入执行，可执行文件解密名为 BIN 的嵌入式资源并在内存中执行它。BIN 资源解压缩并运行基于 Go 的最终混淆有效负载，然后利用不同的易受攻击的合法驱动程序来获得提升的权限并撤防 EDR 软件。

“二进制文件的语言属性是俄语，表明恶意软件作者在具有俄语本地化设置的计算机上编译了可执行文件，”Klopsch说。“所有解压缩的 EDR 杀手都在 .data 部分嵌入了一个易受攻击的驱动程序。”

为了缓解威胁，建议使系统保持最新状态，在 EDR 软件中启用篡改保护，并对 Windows 安全角色采取严格的卫生措施。

“只有当攻击者升级他们控制的权限，或者他们能够获得管理员权限时，这种攻击才有可能，”Klopsch说。“用户和管理员权限之间的分离有助于防止攻击者轻松加载驱动程序。”