Вымогатели используют драйвер Process Explorer для отключения EDR-систем

Вымогатели используют драйвер Process Explorer для отключения EDR-систем

Вымогатели используют драйвер Process Explorer для отключения EDR-систем

Киберпреступники используют инструмент AuKill для отключения EDR-систем (Endpoint Detection & Response) на устройствах жертв. После этого атакующие могут свободно устанавливать бэкдоры и шифровальщики с помощью концепции «принеси собственный уязвимый драйвер» (Bring Your Own Vulnerable Driver — BYOVD).

В подобных атаках злоумышленники копируют в систему легитимный подписанный драйвер (обязательно с валидным сертификатом), способный работать с правами ядра. Высокие привилегии нужны для отключения защитных решений и получения контроля над ОС.

На вредонос AuKill обратили внимание исследователи из команды Sophos X-Ops. В ходе атак операторы сбрасывают на устройство системный драйвер Windows — procexp.sys, размещая его рядом с тем, который использует легитимная утилита Process Explorer v16.32.

Затем зловред проверяет наличие прав SYSTEM. Если их нет, он имитирует службу TrustedInstaller Windows Modules Installer для повышения привилегий. Чтобы отключить защитные продукты, AuKill стартует несколько потоков, задача которых — завершать работу определенных процессов и служб.

В реальных атаках участвуют сразу несколько версий AuKill. Некоторые из них фигурировали в кампаниях по распространению программ-вымогателей Medusa Locker и LockBit.

«С начала 2023 года обнаруженный инструмент использовался как минимум в трёх инцидентах с участием программ-вымогателей. В январе и феврале атакующие развернули Medusa Locker с помощью AuKill, также в феврале тулза использовалась в связке с Lockbit», — пишут исследователи.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Зондирующие DDoS-атаки в России выросли в 5000 раз за третий квартал

Аналитический центр StormWall сообщил о беспрецедентном росте сразу нескольких типов DDoS-атак в России в третьем квартале 2025 года. Эксперты отметили увеличение числа многовекторных атак, ковровых бомбардировок, зондирующих атак и атак на уровне L7 (уровень приложений) — впервые за всю историю наблюдений все эти типы показали рост одновременно.

Самый заметный всплеск пришёлся на многовекторные атаки: их стало в пять раз больше, чем годом ранее.

Доля таких атак выросла с 24% до 51% от общего числа. Эти атаки одновременно нацелены на разные уровни инфраструктуры — от сети до приложений — и считаются одними из самых опасных.

Не менее тревожна ситуация с так называемыми «ковровыми бомбардировками» — их количество увеличилось в 5,3 раза. В таких атаках злоумышленники атакуют не один сервер, а целые диапазоны IP-адресов, что может парализовать работу компаний.

Отдельного внимания заслужили зондирующие атаки, которые хакеры используют для разведки и тестирования систем защиты. Их количество выросло колоссально — в 5 тысяч раз по сравнению с прошлым годом. Эти атаки длятся всего несколько минут, но помогают злоумышленникам понять, как реагирует защита и где можно ударить сильнее. В третьем квартале на них пришлось 34% всех DDoS-атак в стране.

Также выросло число атак на уровне приложений (L7) — их стало больше на 36%. Они имитируют поведение обычных пользователей и нередко проходят мимо стандартных фильтров, вызывая перебои в работе сайтов и онлайн-сервисов.

«Впервые за один квартал мы видим такой масштабный рост разных типов DDoS-атак. Это уникальный случай для российского киберпространства. Если тенденция сохранится, бизнесу будет всё труднее защищать инфраструктуру от одновременных атак разных видов», — отметил сооснователь StormWall Рамиль Хантимиров.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru