Топ-5 ИБ-событий недели по версии Jet CSIRT

Сегодня в ТОП-5 — применение EDRKillShifter для обхода EDR и антивирусной защиты, использование кода Kryptina Linux-вымогателем Mallox, критическая уязвимость в Ivanti Virtual Traffic Manager, исправление 11 уязвимостей Cisco, эволюция группировки Sticky Werewolf.

Как RansomHub использует EDRKillShifter для обхода EDR и антивирусной защиты

Исследователи Trend Micro отследили группировку Water Bakunawa, которая стоит за RansomHub и использует различные методы борьбы с EDR. RansomHub примечателен своей партнерской моделью и использованием методов отключения или прекращения обнаружения и реагирования на конечные точки для уклонения от обнаружения и продления своего присутствия в скомпрометированных системах или сетях. Одним из методов RansomHub является интеграция EDRKillShifter в цепочку атак. Данный инструмент предназначен для эксплуатации уязвимых драйверов и подрыва эффективности решений EDR. Кроме того, такой способ усиливает механизмы закрепления в системе, используя методы, которые обеспечивают его постоянное присутствие в системе, даже после обнаружения и его первоначального устранения. Такие улучшения делают его опасным инструментом против традиционных решений безопасности конечных точек. Специалисты порекомендовали реализовать защиту на уровне драйвера и ядра, обеспечить безопасность учетных данных, включить поведенческий мониторинг и обнаружение аномалий и предоставили список индикаторов компрометации.

Linux-вымогатель Mallox использует код Kryptina

Специалисты SentinelLabs обнаружили, что группа, связанная с кампанией Mallox, использует новую модифицированную версию шифровальщика Kryptina для атак на Linux-системы. Ранее Mallox был нацелен только на Windows‑системы. С недавних пор стало известно об атаках