Nytt EDR-killerverktøy brukt av åtte forskjellige ransomware-grupper. SonicWall finner ingen SSLVPN-zero-day angrep, og kobler ransomware-angrep til feil i 2024. Microsoft advarer om kritisk sårbarhet i hybrid Exchange-distribusjoner.
Nytt EDR-killerverktøy brukt av åtte forskjellige ransomware-grupper
En ny, sofistikert EDR-killer (Endpoint Detection and Response-killer), videreutviklet fra RansomHub sitt «EDRKillShifter», har blitt observert i angrep fra åtte ulike ransomware-grupper: RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx og INC. Verktøyet bruker en tungt obfuskert binærfil som dekodes ved kjøring og injiseres i legitime applikasjoner. Det søker etter en digitalt signert, men stjålet eller utgått sertifikat-basert driver med et fem-tegns tilfeldig navn, laster den inn i kernel-modus og utløser et BYOVD-angrep (Bring Your Own Vulnerable Driver) for å oppnå kjernesrettigheter. Driveren utgir seg for å være legitim – som CrowdStrike Falcon Sensor Driver – men deaktiverer AV/EDR-prosesser og tjenester fra en rekke leverandører, inkludert Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro og Webroot. Til tross for ulike varianter i drivernavn, målte AV-er og byggkarakteristikker, benyttes HeartCrypt for pakking, og det finnes indikasjoner på deling av verktøy og kunnskap mellom konkurrenter innen ransomware-industrien
SonicWall finner ingen SSLVPN-zero-day angrep, og kobler ransomware-angrep til feil i 2024
SonicWall har bekreftet at de nylige Akira-ransomware-angrepene mot Gen 7 brannmurer med SSL-VPN aktivert ikke skyldes en ny (ukjent) zero-day-sårbarhet, men snarere utnyttelse av en allerede kjent streng tilgangskontroll-feil, CVE-2024-40766, oppdaget og utbedret i august 2024. Angrepene skyldes i stor grad migrasjon fra Gen 6 til Gen 7, der lokale brukerpassord ble overført uten å tilbakestilles – en anbefalt sikkerhetsprosedyre ble dermed ikke fulgt. Den kritiske sårbarheten ga angripere tilgang til VPN eller administrasjonsgrensesnitt, noe som førte til rask ransomware-deployering gjennom den kompromitterte SSL-VPN-tilgangen
SonicWall anbefaler umiddelbare tiltak for å begrense risikoen: Oppdater til SonicOS versjon 7.3.0 eller nyere. Tilbakestill alle lokale brukerkonto-passord som ble migrert fra Gen 6 til Gen 7 med SSL-VPN-tilgang. Deaktiver SSL-VPN hvis mulig, eller begrens tilgang via IP-whitelisting
Microsoft advarer om kritisk sårbarhet i hybrid Exchange-distribusjoner
Microsoft har avdekket en «high-severity» sårbarhet (CVE-2025-53786, CVSS 8.0) i hybrid Exchange-distribusjoner som gjør det mulig for en angriper med admin-tilgang på en lokal Exchange-server å eskalere privilegier og få tilgang til Exchange Online uten å etterlate spor i sky-audit-logger. Feilen skyldes deling av samme service-principal mellom lokal Exchange og Exchange Online. Til tross for at det ikke er observert aktiv utnyttelse ennå, vurderer Microsoft at utnyttelsespotensialet er høyt.
Installer April 2025 Hotfix for Exchange Server eller nyere
