RansomHub最新勒索软件“浮出水面”,可篡改EDR软件
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
网络安全公司Sophos发现RansomHub勒索软件团伙使用新工具EDRKillShifter终止受攻击主机上的端点检测和响应软件。研究人员建议保持系统最新状态,启用EDR软件中的篡改保护功能,采取严格措施保护Windows安全角色。
🎯
关键要点
- RansomHub勒索软件团伙使用新工具EDRKillShifter终止EDR软件。
- EDRKillShifter是一个加载器可执行文件,容易被滥用。
- RansomHub是Knight勒索软件的改良版,利用已知安全漏洞获取初始访问权限。
- 该工具通过命令行执行,解密并运行基于Go的有效载荷。
- 恶意软件的语言属性为俄语,表明作者可能在俄语环境下编译。
- 研究人员建议保持系统更新,启用EDR软件的篡改保护功能。
- 区分用户和管理员权限有助于防止攻击事件的发生。
🏷️
标签
➡️
