Identificado malware capaz de desativar mecanismos de EDR

Na quarta-feira (19), a Sophos detalhou uma série de campanhas empregando um novo artefato nomeado AuKill capaz de desativar softwares de Endpoint Detection & Response (EDR). Segundo os pesquisadores, o AuKill carrega no ambiente da vítima um driver vulnerável para Windows usado pelos adversários para escalação de privilégios no sistema. Com as permissões alcançadas, o malware inicializa diversas threads para escaneamento e desativação de processos associados a softwares de segurança. Até o momento foram observadas diferentes variantes da ameaça sendo empregadas em ataques para enfraquecer o ambiente de um alvo antes de inicializar ransomwares como LockBit e Medusa Locker.

Fonte: News Sophos