Драйверы-предатели. Как легитимные программы помогают преступникам шифровать ваши данные

Специалисты ESET проанализировали быстро растущий сегмент инструментов, которые злоумышленники используют перед запуском шифровальщиков. Речь идёт о так называемых EDR-killer — утилитах, позволяющих временно «ослепить» защитные системы и обеспечить успешное шифрование данных.

Такие инструменты стали почти обязательным этапом атак с вымогательским ПО. Сначала злоумышленники получают повышенные привилегии в системе, затем отключают защиту и только после этого запускают шифровальщик. Подход оказался удобнее, чем попытки скрыть сам вредоносный код. Шифровальщики остаются простыми, а вся логика обхода защиты выносится в отдельный инструмент.

Анализ ESET охватывает почти 90 активных EDR-killer, применяемых разными группами. Большинство используют уязвимые драйверы, однако встречаются и более простые варианты — скрипты, а также злоупотребление легитимными анти-руткит утилитами вроде GMER или PC Hunter. Отдельно выделяется новая категория — инструменты без драйверов, которые блокируют связь с системами мониторинга или «замораживают» процессы защиты.

Исследование показывает, что выбор таких инструментов чаще зависит не от операторов вымогательского ПО, а от их партнёров. Чем шире сеть партнёров, тем разнообразнее используемый арсенал. В результате один и тот же драйвер может встречаться в разных атаках, не связанных между собой, а один инструмент — менять драйверы без серьёзных изменений кода. Это делает привязку атак к конкретным группам по драйверам ненадёжной.

Рынок подобных решений активно коммерциализируется. В даркнете продаются готовые EDR-killer, иногда с подробными инструкциями и поддержкой. Среди них выделяются DemoKiller, AbyssKiller и CardSpaceKiller, которые уже применялись в атаках различных групп. Стоимость таких инструментов варьируется от сотен до тысяч долларов, что делает их доступными даже для менее опытных злоумышленников.

Отдельное внимание специалисты уделили роли искусственного интеллекта. Прямых доказательств нет, однако некоторые образцы кода, например, у группы Warlock, содержат характерные признаки автоматической генерации. В одном случае инструмент перебирал разные устройства методом проб и ошибок, что напоминает типичные шаблоны, создаваемые ИИ.

Популярность EDR-killer объясняется сочетанием простоты и эффективности. Вместо сложной маскировки вымогательского ПО злоумышленники получают предсказуемый результат — временное отключение защиты. При этом многие инструменты используют легитимные драйверы, что усложняет защиту и повышает риск сбоев при их блокировке.

Авторы отчёта подчёркивают, что одной лишь блокировки уязвимых драйверов недостаточно. К моменту их загрузки злоумышленники уже контролируют систему и готовы к шифрованию. Эффективная защита требует раннего выявления атаки и реагирования на каждом этапе, включая попытки отключить средства мониторинга.