Шифровальщики Qilin и Warlock Отключают EDR через Уязвимые Драйверы
Группировки шифровальщиков Qilin и Warlock используют уязвимые драйверы для отключения более 300 EDR-инструментов. Это подрывает киберзащиту целевых организаций, увеличивая риск утечки данных и успешных атак. Новый метод требует пересмотра стратегий кибербезопасности.
Шифровальщики Qilin и Warlock Отключают EDR-инструменты через Уязвимые Драйверы
Последние отчеты указывают на то, что группы вымогательского программного обеспечения Qilin и Warlock используют новую, сложную тактику для обхода традиционных мер безопасности конечных точек. Эти группы используют уязвимые драйверы, метод, часто называемый Bring Your Own Vulnerable Driver (BYOVD), для отключения более 300 различных инструментов обнаружения и реагирования на конечных точках (EDR).
Этот метод позволяет программе-вымогателю беспрепятственно работать на скомпрометированных системах, значительно увеличивая вероятность успешного шифрования и эксфильтрации данных. Отключая инструменты EDR, предназначенные для обнаружения и реагирования на вредоносные действия, Qilin и Warlock фактически создают "слепое пятно" для организаций, делая их защиту конечных точек в значительной степени неэффективной.
Объяснение Техники BYOVD
Атака "Принеси свой уязвимый драйвер" (BYOVD) включает установку злоумышленниками легитимного, имеющего цифровую подпись, но уязвимого драйвера на целевую систему. После установки уязвимость в этом драйвере используется для получения повышенных привилегий, как правило, доступа на уровне ядра. Имея такой высокий уровень доступа, программа-вымогатель может завершать процессы безопасности, отключать агентов EDR и избегать обнаружения.
Ваш email в утечке? Проверьте бесплатно — результат за секунды.
Проверить →Эта техника особенно опасна, поскольку она злоупотребляет легитимными программными компонентами, что затрудняет традиционным решениям безопасности идентификацию первоначального компромисса. Широкое использование этого метода группами Qilin и Warlock сигнализирует о тревожной тенденции в тактике программ-вымогателей, требующей повышенной бдительности от специалистов по кибербезопасности.
Последствия для Организаций
Способность программ-вымогателей отключать инструменты EDR представляет серьезную угрозу для организаций, полагающихся на эти решения для своей основной защиты конечных точек. Без эффективного EDR предприятия становятся крайне уязвимыми к утечкам данных, операционным сбоям и значительным финансовым потерям, связанным с атаками программ-вымогателей.
- Повышенный Риск: Организации, использующие любой из более чем 300 затронутых инструментов EDR, сталкиваются с повышенным риском компрометации.
- Слепые Зоны Безопасности: Отключенные инструменты EDR создают пробелы в видимости, препятствуя своевременному обнаружению и реагированию на текущие атаки.
- Продвинутая Стойкость: Доступ на уровне ядра, полученный через BYOVD, позволяет программе-вымогателю устанавливать мощные механизмы сохранения на скомпрометированных системах.
Командам кибербезопасности настоятельно рекомендуется пересмотреть свои стратегии защиты, сосредоточиться на проактивных проверках целостности драйверов, внедрить надежные политики контроля приложений и рассмотреть многоуровневые подходы к безопасности, выходящие за рамки традиционного EDR, для смягчения этой возникающей угрозы.
Источник
https://thehackernews.com/2026/04/qilin-and-warlock-ransomware-use.html