Minst 54 «EDR killers» misbruker signerte drivere for å slå av sikkerhetsverktøy
Ny analyse fra ESET viser at minst 54 kjente verktøy for å deaktivere endpoint-beskyttelse (EDR) bruker BYOVD-teknikken («bring your own vulnerable driver»). Fellesnevneren er at angripere laster inn legitime, men sårbare, signerte drivere for å få kernel-rettigheter og deretter skru av eller sabotere sikkerhetskontroller før ransomware kjøres.
Poenget er enkelt: i stedet for å gjøre selve løsepengeprogrammet mer avansert, skiller angriperne ut «forarbeidet» i egne verktøy som rydder bort forsvar først. Når EDR er slått av, blir krypteringstrinnet mer robust, enklere å vedlikeholde og vanskeligere å stoppe i tide.
Hvorfor BYOVD er blitt standard i ransomware-kjeder
Ifølge ESET bruker over halvparten av identifiserte EDR-killer-varianter BYOVD, og totalt 34 sårbare drivere går igjen. Dette er drivere som i utgangspunktet er gyldig signert, men som inneholder kjente svakheter angripere kan utnytte for å få høyeste privilegienivå i Windows.
Bitdefender beskriver samme mekanisme: når angriperne først får ring 0-tilgang via en sårbar, signert driver, kan de terminere sikkerhetsprosesser, manipulere kernel-callbacks og omgå endpoint-kontroller uten å måtte laste en usignert, åpenbart ondsinnet driver.
Dette er også en viktig forklaring på hvorfor tradisjonell tillit til «signert = trygg» ikke lenger holder som enkel tommelfingerregel. I praksis blir tillitskjeden misbrukt av aktører som velger gamle eller dårlig vedlikeholdte driverversjoner med kjente hull.
Hva dette betyr for norske virksomheter
For sikkerhetsteam handler dette mindre om én ny CVE og mer om en moden angrepsmetode som nå er industriell. Kombinasjonen av RaaS-økosystem, ferdige EDR-killer-bygg og stabile BYOVD-oppskrifter gjør at flere aktører kan gjennomføre avanserte forløp med lavere teknisk terskel.
Det øker presset på tre områder:
- Driver hygiene: strengere kontroll på hvilke drivere som faktisk får lastes i miljøet.
- Deteksjon i kernel-nære hendelser: overvåkning må fange uvanlig driverlasting og prosessdrap mot sikkerhetsverktøy.
- Hardening av endepunkter før hendelser: tiltak som blokkering av kjente sårbare drivere og policy-baserte sperrer må være på plass før et utpressingsløp starter.
ESET peker også på at enkelte verktøy kombinerer skriptede admin-kommandoer (som `taskkill`, `net stop` og `sc delete`) med Safe Mode-strategier for å svekke forsvar ytterligere. Det betyr at forsvar ikke bare må se etter «avansert malware», men også etter legitim systembruk i mistenkelig mønster.
For virksomheter som allerede vurderer sin ransomware-beredskap, er dette en tydelig påminnelse: den kritiske fasen skjer ofte før krypteringen begynner. Hvis angriperen får deaktivert beskyttelsen tidlig, blir resten av hendelsen langt dyrere å håndtere.