Los piratas informáticos utilizan herramientas legítimas de Windows para desactivar el antivirus antes de los ataques de ransomware

Los ataques de ransomware han ido mucho más allá del simple código malicioso. Hoy en día, los atacantes operan con la precisión de un negocio bien planificado, utilizando herramientas confiables de Windows para derribar silenciosamente las defensas antes de que el ransomware entre en escena.

Este cambio ha hecho que las campañas modernas de ransomware sean más difíciles de detectar y mucho más dañinas. Los atacantes los han reutilizado para finalizar silenciosamente el software antivirus y de detección y respuesta de endpoints (EDR) antes de soltar una payload de ransomware. Al cerrar primero estas defensas, los atacantes crean una ventana silenciosa donde el ransomware puede ejecutarse libremente y sin interrupciones. El abuso en dos etapas de herramientas legítimas de Windows Una vez que los atacantes establecen un punto de apoyo, siguen un proceso de dos etapas que desmantela sistemáticamente la seguridad antes de que se ejecute la payload del ransomware.

Una vez neutralizado el software de seguridad, los atacantes se centran en el robo de credenciales, la manipulación del kernel y la implementación de ransomware. La publicación Los piratas informáticos utilizan herramientas legítimas de Windows para desactivar el antivirus antes de los ataques de ransomware apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗