- شوهدت مجموعة Ransomware Crypto24 تعطيل حماية AV قبل نشر المشفر
- في بعض الحالات ، يمكن حتى إلغاء تثبيت برامج AV
- الدفاع الطبقات هو أفضل طريقة لتخفيف التهديد
لقد عثر باحثو الأمن على أداة أخرى لمكافحة الفيروسات التي يستخدمها المتسللين قبل إسقاط أي حمولات إضافية.
كشف خبراء من Trend Micro عن البديل المخصص لأداة المصدر المفتوح المسمى RealBlindingedR.
تأتي هذه الأداة مع قائمة متشددين من أسماء شركات مكافحة الفيروسات:
الاتجاه الميكرو
كاسبرسكي
Sophos
الحارس
malwarebytes
نحيف
مكافي
bitdefender
Broadcom (Symantec)
سيسكو
فورتينيت
acronis
عندما يتم نشره على جهاز ، فإنه يبحث عن هذه الأسماء في بيانات تعريف السائق ، وإذا وجد واحد ، فإنه يعطل خطافات/عوائد على مستوى kernel ، محركات الكشف العمياء بشكل أساسي. وجد باحثو Trend Micro أن المتسللين قادرون أيضًا على إلغاء تثبيت برامج مكافحة الفيروسات بصمت تمامًا ، مما يفتح الأبواب وتمكين النشر السهل للبرامج الضارة للمرحلة الثانية.
Crypto24
شوهدت الأداة في البرية ، التي تستخدمها جماعية اختراق تسمى Crypto24 ، مجموعة Ransomware الناشئة التي شوهدت لأول مرة في سبتمبر 2024.
ومع ذلك ، يعتقد الباحثون أن المجموعة تتكون من أعضاء سابقين في مجموعات الاختراق الأخرى ، لأن أعضائها ذوي المهارات العالية وذوي الخبرة.
عندما تكتسب الوصول الأولي ، ويحدد الثبات ، ويزيل حواجز الطرق المضادة للفيروسات ، عادة ما تنشر المجموعة قطعتين من البرامج الضارة – وهو مفتاح ، ومشفي. يتم تفكيك جميع الأسرار المسروقة في محرك Google باستخدام أداة مخصصة.
هوية ، أو موقع Crypto24 غير معروفة حاليًا. ومع ذلك ، يقول الباحثون أنه في حياتها القصيرة ، نجحت المجموعة في ضرب عدد من المنظمات الكبيرة في الولايات المتحدة وأوروبا وآسيا. معظم أهدافهم في التمويل والتصنيع والتكنولوجيا والترفيه.
هناك العديد من الطرق للحماية من الهجمات التي تتطلع إلى تعطيل حماية مكافحة الفيروسات ، بما في ذلك اختيار استراتيجية الدفاع ذات الطبقات.
يمكن للشركات استخدام مكافحة الفيروسات ذات السمعة الطيبة مع حماية العبث ، وتمكين الحماية في الوقت الفعلي وجدران الحماية ، واستخدام أداة منفصلة لمكافحة البرامج الضارة التي يمكن أن تعمل جنبًا إلى جنب مع AV.
عبر كمبيوتر bleeping
