Το Medusa Ransomware απενεργοποιεί εργαλεία ασφαλείας με κακόβουλο driver
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Το Medusa Ransomware απενεργοποιεί εργαλεία ασφαλείας με κακόβουλο driver
https://www.secnews.gr/644284/medusa-ransomware-apenergopoiei-ergaleia-asfaleias-kakovoulo-driver/
Mar 24th 2025, 15:02
by Absenta Mia
Το ransomware Medusa αναπτύσσει ένα κακόβουλο πρόγραμμα driver από έναν Kινέζο προμηθευτή και το χρησιμοποιεί για να απενεργοποιήσει τα εργαλεία ασφαλείας που εκτελούνται στα μολυσμένα συστήματα, αναφέρει η εταιρεία κυβερνοασφάλειας Elastic Security Labs.
Δείτε επίσης: Medusa ransomware: Έχει στοχεύσει πάνω από 300 οργανισμούς σε κρίσιμες υποδομές
Το driver, που ονομάζεται smuol.sys, προσποιείται ότι είναι ένας νόμιμος οδηγός του CrowdStrike Falcon. Είναι υπογεγραμμένος με μια ανακληθείσα πιστοποίηση από μια κινεζική εταιρεία και προστατεύεται με τη χρήση του VMProtect.
Η Elastic, η οποία ονόμασε το driver AbyssWorker, έχει εντοπίσει δεκάδες δείγματα που χρονολογούνται από τον Αύγουστο του 2024 έως τον Φεβρουάριο του 2025, όλα υπογεγραμμένα, πιθανότατα με τη χρήση κλεμμένων πιστοποιητικών.
Το ίδιο το driver, όπως επισημαίνει η εταιρεία κυβερνοασφάλειας, δεν είναι αποκλειστικό για το ransomware Medusa και έχει παρατηρηθεί προηγουμένως να χρησιμοποιείται με την ονομασία nbwdv.sys σε επιθέσεις social engineering που οδηγούν σε μολύνσεις μέσω backdoor.
Δείτε ακόμα: Το Medusa Ransomware έχει στοχεύσει πάνω από 40 οργανισμούς το 2025
Το driver είχε υπογραφεί με ληγμένο πιστοποιητικό και, προκειμένου να διασφαλιστεί ότι θα λειτουργούσε επιτυχώς, οι επιτιθέμενοι χρησιμοποίησαν ένα αρχείο .bat για να απενεργοποιήσουν το Windows Time Service και να ρυθμίσουν την ημερομηνία του συστήματος στο 2012. Ένα δυαδικό αρχείο ελέγχου χρησιμοποιήθηκε για την επικοινωνία με το driver.
Η ανάλυση της Elastic σχετικά με το AbyssWorker αποκάλυψε ότι το driver εγκαθιστά μια λειτουργία προστασίας κατά την αρχικοποίηση, αναζητώντας και αφαιρώντας οποιαδήποτε handles προς τη διαδικασία πελάτη σε άλλες διαδικασίες.
Αφού εγκατασταθεί και μπει σε λειτουργία, το driver του Medusa Ransomware, μπορεί να εκτελεί αιτήματα για μια ευρεία γκάμα λειτουργιών, όπως ο χειρισμός διεργασιών, η επεξεργασία αρχείων, η παρέμβαση σε διεργασίες, η φόρτωση API, η αφαίρεση hooks, ο τερματισμός του driver και η επανεκκίνηση του συστήματος, επιτρέποντάς του να τερματίσει και να απενεργοποιήσει μόνιμα τα εργαλεία ασφαλείας.
Δείτε επίσης: Η ομάδα ransomware Medusa χτυπά το Victoria Racing Club
Ένα κακόβουλο driver είναι ένα πρόγραμμα ή ένα κομμάτι λογισμικού που έχει σχεδιαστεί για να εκμεταλλευτεί ευπάθειες στο σύστημα ή στον υπολογιστή, με σκοπό την εκτέλεση κακόβουλων ενεργειών. Συνήθως, αυτά τα driver είναι ψευδή ή παραποιημένα και εγκαθίστανται στον υπολογιστή χωρίς τη γνώση ή την άδεια του χρήστη. Η εγκατάσταση κακόβουλων driver μπορεί να γίνει μέσω μολυσμένων αρχείων, αλληλογραφίας ηλεκτρονικού ταχυδρομείου ή μέσω επίθεσης σε ευπάθειες του λειτουργικού συστήματος. Για να αποφύγεις τέτοιες απειλές, είναι σημαντικό να ενημερώνεις συχνά το λειτουργικό σου σύστημα και τα driver και να χρησιμοποιείς αξιόπιστο λογισμικό ασφαλείας.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Το Medusa Ransomware απενεργοποιεί εργαλεία ασφαλείας με κακόβουλο driver
https://www.secnews.gr/644284/medusa-ransomware-apenergopoiei-ergaleia-asfaleias-kakovoulo-driver/
Mar 24th 2025, 15:02
by Absenta Mia
Το ransomware Medusa αναπτύσσει ένα κακόβουλο πρόγραμμα driver από έναν Kινέζο προμηθευτή και το χρησιμοποιεί για να απενεργοποιήσει τα εργαλεία ασφαλείας που εκτελούνται στα μολυσμένα συστήματα, αναφέρει η εταιρεία κυβερνοασφάλειας Elastic Security Labs.
Δείτε επίσης: Medusa ransomware: Έχει στοχεύσει πάνω από 300 οργανισμούς σε κρίσιμες υποδομές
Το driver, που ονομάζεται smuol.sys, προσποιείται ότι είναι ένας νόμιμος οδηγός του CrowdStrike Falcon. Είναι υπογεγραμμένος με μια ανακληθείσα πιστοποίηση από μια κινεζική εταιρεία και προστατεύεται με τη χρήση του VMProtect.
Η Elastic, η οποία ονόμασε το driver AbyssWorker, έχει εντοπίσει δεκάδες δείγματα που χρονολογούνται από τον Αύγουστο του 2024 έως τον Φεβρουάριο του 2025, όλα υπογεγραμμένα, πιθανότατα με τη χρήση κλεμμένων πιστοποιητικών.
Το ίδιο το driver, όπως επισημαίνει η εταιρεία κυβερνοασφάλειας, δεν είναι αποκλειστικό για το ransomware Medusa και έχει παρατηρηθεί προηγουμένως να χρησιμοποιείται με την ονομασία nbwdv.sys σε επιθέσεις social engineering που οδηγούν σε μολύνσεις μέσω backdoor.
Δείτε ακόμα: Το Medusa Ransomware έχει στοχεύσει πάνω από 40 οργανισμούς το 2025
Το driver είχε υπογραφεί με ληγμένο πιστοποιητικό και, προκειμένου να διασφαλιστεί ότι θα λειτουργούσε επιτυχώς, οι επιτιθέμενοι χρησιμοποίησαν ένα αρχείο .bat για να απενεργοποιήσουν το Windows Time Service και να ρυθμίσουν την ημερομηνία του συστήματος στο 2012. Ένα δυαδικό αρχείο ελέγχου χρησιμοποιήθηκε για την επικοινωνία με το driver.
Η ανάλυση της Elastic σχετικά με το AbyssWorker αποκάλυψε ότι το driver εγκαθιστά μια λειτουργία προστασίας κατά την αρχικοποίηση, αναζητώντας και αφαιρώντας οποιαδήποτε handles προς τη διαδικασία πελάτη σε άλλες διαδικασίες.
Αφού εγκατασταθεί και μπει σε λειτουργία, το driver του Medusa Ransomware, μπορεί να εκτελεί αιτήματα για μια ευρεία γκάμα λειτουργιών, όπως ο χειρισμός διεργασιών, η επεξεργασία αρχείων, η παρέμβαση σε διεργασίες, η φόρτωση API, η αφαίρεση hooks, ο τερματισμός του driver και η επανεκκίνηση του συστήματος, επιτρέποντάς του να τερματίσει και να απενεργοποιήσει μόνιμα τα εργαλεία ασφαλείας.
Δείτε επίσης: Η ομάδα ransomware Medusa χτυπά το Victoria Racing Club
Ένα κακόβουλο driver είναι ένα πρόγραμμα ή ένα κομμάτι λογισμικού που έχει σχεδιαστεί για να εκμεταλλευτεί ευπάθειες στο σύστημα ή στον υπολογιστή, με σκοπό την εκτέλεση κακόβουλων ενεργειών. Συνήθως, αυτά τα driver είναι ψευδή ή παραποιημένα και εγκαθίστανται στον υπολογιστή χωρίς τη γνώση ή την άδεια του χρήστη. Η εγκατάσταση κακόβουλων driver μπορεί να γίνει μέσω μολυσμένων αρχείων, αλληλογραφίας ηλεκτρονικού ταχυδρομείου ή μέσω επίθεσης σε ευπάθειες του λειτουργικού συστήματος. Για να αποφύγεις τέτοιες απειλές, είναι σημαντικό να ενημερώνεις συχνά το λειτουργικό σου σύστημα και τα driver και να χρησιμοποιείς αξιόπιστο λογισμικό ασφαλείας.
Πηγή: securityweek
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια