Топ-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — инструмент EDRKillShifter для отключения EDR-защиты, вредоносное ПО для финсектора Wail, уязвимость в Azure AD, критические уязвимости в PostgreSQL и в компоненте TCP/IP Windows.

Группировка RansomHub использует EDRKillShifter для отключения EDR-защиты в атаках с вымогательством

В новом отчете компании Sophos говорится о том, что киберпреступная группировка RansomHub начала использовать инструмент EDRKillShifter для отключения решений Endpoint Detection and Response (EDR) на зараженных системах. EDRKillShifter разработан для целенаправленного отключения EDR-защиты, что позволяет злоумышленникам беспрепятственно выполнять свои атаки, включая шифрование данных и вымогательство. Этот инструмент способен обходить защитные механизмы различных EDR-решений, что делает атаки более успешными и сложными для обнаружения. Для защиты от подобных атак Sophos рекомендует включать защиту от несанкционированного доступа в продуктах для защиты узлов и разграничивать права пользователя и администратора, чтобы злоумышленники не могли загрузить уязвимые драйверы. Также важно поддерживать системы в актуальном состоянии, так как Microsoft регулярно отзывает подписанные драйверы, используемые в атаках.

Elastic Security Labs разоблачили сложные техники вредоносного ПО Wail, нацеленного на финансовый сектор

Команда Elastic Security Labs представила подробный отчет о вредоносном ПО под названием Wail, которое активно используется для атак на банковские системы и финансовые учреждения. Вредоносное ПО обладает сложной структурой, использует многоэтапные техники заражения, включая загрузчики и компоненты для эскалации привилегий. Wail внедряет свои модули в критически важные процессы системы, что затрудняет его обнаружение