EDRKillShifter
Egy kiberbűnözői csoport, amely kapcsolatban áll a RansomHub ransomware-rel, megfigyelések szerint egy új eszközt használ, amelyet arra terveztek, hogy megszüntesse az EDR szoftvereit a fertőzött gépeken, csatlakozva más hasonló programokhoz, mint például az AuKill (más néven AvNeutralizer) és a Terminator. Az EDR-killer segédprogramot EDRKillShifter néven emlegette a Sophos kiberbiztonsági vállalat, amely egy 2024 májusában történt sikertelen ransomware támadás kapcsán fedezte fel az eszközt. „Az EDRKillShifter eszköz egy „betöltő” futtatható fájl – egy olyan legitim illesztőprogram szállítási mechanizmusa, amely sebezhető (más néven „bring your own vulnerable driver” vagy BYOVD eszköz)” – mondta Andreas Klopsch biztonsági kutató. Ennek a betöltőnek a végrehajtási folyamata három lépésből áll. A támadónak az EDRKillShifter-t egy jelszót tartalmazó parancssorral kell végrehajtania, amely tartalmaz egy jelszavas karakterláncot. A helyes jelszóval történő futtatás után a futtatható program visszafejt egy BIN nevű beágyazott erőforrást, és végrehajtja azt a memóriában. A BIN kód kicsomagolja és végrehajtja a végső hasznos terhet. Ez a Go programozási nyelven írt végső hasznos teher a különböző sebezhető, legitim illesztőprogramok egyikét dobja le és használja ki, hogy olyan jogosultságokat szerezzen, amelyek elegendőek az EDR eszköz védelmének feloldásához.