كشف باحثون في شركة Sophos عن أداة جديدة لتعطيل أنظمة كشف الاستجابة على نقاط النهاية (Endpoint Detection and Response – EDR) طوّرها مشغلو RansomHub، وتبنتها سبع مجموعات فدية أخرى من بينها Blacksuit وMedusa وQilin وDragonforce وCrytox وLynx وINC. تمثل الأداة نسخة متطورة من أداة EDRKillShifter، وتتيح للمهاجمين إيقاف منتجات الحماية في الأجهزة المخترقة، ما يمكنهم من نشر البرمجيات الخبيثة، ورفع الامتيازات، والتحرك أفقيا عبر الشبكة قبل تنفيذ التشفير.
تعتمد الأداة على ملف تنفيذي مشفر بآلية إخفاء متقدمة، حيث يُفك شفرته ذاتيا أثناء التشغيل ويُحقن في تطبيقات شرعية. كما تبحث الأداة عن برنامج تشغيل (Driver) موقع رقميا — سواء بشهادة مسروقة أو منتهية الصلاحية — باسم عشوائي مكون من خمسة أحرف مدمج في الكود. عند العثور عليه، يُحمَّل البرنامج في النواة (Kernel) لتنفيذ هجوم “إحضار برنامج تشغيل ضعيف خاص بك” (BYOVD) واكتساب امتيازات النواة اللازمة لتعطيل الحماية. ويعمل البرنامج على انتحال هوية ملفات شرعية مثل CrowdStrike Falcon Sensor Driver، لكنه يعمد إلى قتل العمليات والخدمات الخاصة بمنتجات الحماية، بما في ذلك Sophos وMicrosoft Defender وKaspersky وSymantec وTrend Micro وSentinelOne وCylance وMcAfee وF-Secure وHitmanPro وWebroot.
مشاركة الأدوات بين مجموعات الفدية تؤكد تنامي التعاون الهجومي في الفضاء السيبراني
أوضحت Sophos أن كل مجموعة تستخدم إصدارا مخصصا من الأداة، ما يشير إلى أنها ناتجة عن تطوير جماعي وفق إطار مشترك، وليس تسريب ملف واحد. وتظهر جميع الإصدارات علامات استخدام برنامج HeartCrypt للتغليف. كما أن تبادل هذه الأدوات بين المجموعات المهاجمة أصبح نهجا متكررا في بيئة الفدية، حيث سبق أن رصدت أدوات مشابهة مثل AuKill وAvNeutralizer التي بيعت أو استُخدمت من قبل عدة جهات هجومية بينها Medusa Locker وLockBit وBlackBasta وAvosLocker وBlackCat وTrigona. وقد نُشرت مؤشرات الاختراق الكاملة الخاصة بهذه الأداة الجديدة في مستودع GitHub، لتتيح للجهات الأمنية والمختصين تعزيز قدراتهم على كشفها والتصدي لها.
