Sophos считают это развитием приспособления EDRKillShifter, пишет Securitylab. Его применение уже зафиксировано в атаках 8 различных группировок, включая RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx и INC. Такие программы позволяют шифровальщикам выводить из строя защитные решения на скомпрометированных устройствах, чтобы беспрепятственно развернуть полезную нагрузку, повысить привилегии, перемещаться по сети и в итоге зашифровать данные без риска быть обнаруженными.
Новый EDR Killer представляет собой сильно обфусцированный бинарный файл, который сам себя декодирует во время выполнения и внедряется в легитимные процессы. На следующем этапе утилита ищет цифрово подписанный драйвер с украденным или просроченным сертификатом и случайным пятисимвольным названием, которое зашито в исполняемый файл. Если такой драйвер найден, он загружается в ядро, что позволяет реализовать технику «bring your own vulnerable driver» (BYOVD) и получить системные привилегии, необходимые для отключения защитных продуктов.
Маскируясь под легитимные компоненты, например драйвер CrowdStrike Falcon Sensor, вредоносный драйвер завершает процессы антивирусов и EDR, а также останавливает связанные с ними службы. Под удар попадают решения от Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro и Webroot. Различные версии инструмента отличаются названиями драйверов, списком целевых продуктов и характеристиками сборки, но во всех случаях используется упаковщик HeartCrypt. По данным Sophos, речь идёт не о единожды утекшем бинарнике, а о совместно разрабатываемой платформе, которую используют даже конкурирующие группировки — каждая в своей уникальной сборке.