Gentlemen ransomware menggunakan beberapa pembunuh EDR untuk menonaktifkan pertahanan

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan keamanan siber. Gentlemen ransomware-as-a-service (RaaS) secara aktif mengembangkan dan memelihara serangkaian pembunuh deteksi dan respons titik akhir (EDR) untuk membantu afiliasi menghindari…

Gentlemen ransomware-as-a-service (RaaS) secara aktif mengembangkan dan memelihara serangkaian pembunuh deteksi dan respons titik akhir (EDR) untuk membantu afiliasi menghindari deteksi dalam serangan.

Geng tersebut menggunakan kumpulan alat pembunuh EDR, terutama sebuah utilitas yang oleh para peneliti dijuluki GentleKiller. Alat tersebut setidaknya memiliki delapan varian dan meniru berbagai produk keamanan yang sah, termasuk Kaspersky, Valorant, Javelin, dan WatchDog.

Geng ini menggunakan serangkaian pembunuh EDR, yang paling sering digunakan adalah alat khusus yang peneliti beri nama GentleKiller, yang memiliki setidaknya delapan varian yang meniru berbagai produk sah.

Pembunuh EDR biasanya digunakan untuk menonaktifkan pertahanan pada fase awal serangan, dan dalam insiden ransomware, alat ini memastikan pencurian data atau proses enkripsi berjalan tanpa beban.

Alat-alat ini bekerja dengan memanfaatkan teknik 'bawa driver rentan Anda sendiri' (BYOVD) untuk meningkatkan hak istimewa dan menonaktifkan mesin keamanan.

Meskipun GentleKiller adalah alat standar yang digunakan dalam serangan ransomware Gentlemen, ESET melaporkan bahwa kumpulan pembunuh EDR milik kelompok ancaman tersebut juga mencakup setidaknya tiga alat eksternal:

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari bleepingcomputer. com