Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Бандите за откупен софтвер (ransomware) се свртуваат кон пакетерот Shanya EXE за да ги скријат уништувачите на EDR.

Објавено: 09.12.2025

Повеќе банди за откупен софтвер користат платформа „пакетер како услуга“ наречена Shanya за да им помогнат да распоредат носивости (payloads) што ги оневозможуваат решенијата за откривање и одговор на крајната точка (EDR) на системите на жртвите.

Услугите на пакетер им обезбедуваат на сајбер-криминалците специјализирани алатки за пакување на нивните носивости на начин што го замаглува злонамерниот код за да се избегне откривање од повеќето познати безбедносни алатки и антивирусни машини.

Операцијата на пакетерот Shanya се појави кон крајот на 2024 година и значително се зголеми во популарност, при што примероци на малициозен софтвер што го користат се забележани во Тунис, ОАЕ, Костарика, Нигерија и Пакистан, според телеметриските податоци од Sophos Security.

Меѓу групите за откупен софтвер за кои е потврдено дека го користеле се Medusa, Qilin, Crytox и Akira, при што последната (Akira) е таа што најчесто ја користи оваа услуга.

Пакетерот Shanya се користи во напади со откупен софтвер (ransomware).

Како функционира Shanya

Сајбер-криминалците ги доставуваат своите злонамерни носивости до Shanya, а услугата враќа „спакувана“ верзија со прилагоден обвиткувач (wrapper), користејќи енкрипција и компресија.

Услугата ја промовира уникатноста на добиените носивости, нагласувајќи го „нестандардното вчитување на модулите во меморија, обвиткувачот врз уникатизацијата на системскиот loaderStub“, при што „секој клиент добива свој (релативно) уникатен stub со уникатен алгоритам за енкрипција при купувањето“.

Непотребен код во вчитувачот (loader).

Носивоста (payload) се вметнува во мемориски-мапирана копија на Windows DLL-датотеката „shell32.dll“. Оваа DLL-датотека има извршни секции и големина што изгледаат валидно, а нејзината патека изгледа нормално, но нејзините заглавие (header) и секцијата „.text“ се презапишани со дешифрираната носивост.

Додека носивоста е енкриптирана во спакуваната датотека, таа се дешифрира и декомпресира додека е сѐ уште целосно во меморија, а потоа се вметнува во копијата на датотеката „shell32.dll“, без никогаш да го допре дискот.

Истражувачите од Sophos открија дека Shanya врши проверки за решенија за откривање и одговор на крајната точка (EDR) со повикување на функцијата „RtlDeleteFunctionTable“ во невалиден контекст.

Ова предизвикува нетретиран исклучок или пад (crash) кога се извршува под дебагер во кориснички режим (user-mode debugger), со што се прекинува автоматизираната анализа пред целосното извршување на носивоста.

Оневозможување на EDR

Бандите за откупен софтвер (ransomware groups) обично настојуваат да ги оневозможат EDR (Endpoint Detection and Response) алатките што работат на целниот систем пред фазите на кражба на податоци и енкрипција во нападот.

Извршувањето најчесто се случува преку странично вчитување на DLL (DLL side-loading), комбинирајќи легитимна Windows извршна датотека како што е „consent.exe“ со злонамерна DLL датотека спакувана со Shanya, како на пример msimg32.dll, version.dll, rtworkq.dll или wmsgapi.dll.

Според анализата на Sophos, уништувачот на EDR (EDR killer) поставува два драјвера: легитимно потпишаниот ThrottleStop.sys (rwdrv.sys) од TechPowerUp, кој содржи пропуст што овозможува произволно запишување во меморијата на кернелот, и непотпишаниот hlpdrv.sys.

Потпишаниот драјвер се користи за подигнување на привилегиите, додека hlpdrv.sys ги оневозможува безбедносните производи врз основа на командите добиени од корисничкиот режим.

Компонентата во корисничкиот режим ги набројува активните процеси и инсталираните услуги, потоа ги споредува резултатите со записи од обемна хардкодирана листа, испраќајќи команда за „убивање“ до злонамерниот драјвер на кернелот за секое совпаѓање.

Делумна листа на таргетирани услуги.

Покрај операторите на откупен софтвер (ransomware) фокусирани на оневозможување на EDR, Sophos забележал и неодамнешни ClickFix кампањи кои ја користат услугата Shanya за пакување на малициозниот софтвер CastleRAT.

Sophos забележува дека бандите за откупен софтвер често се потпираат на услугите на пакетер за да подготват уништувачи на EDR (EDR killers) за да бидат распоредени неоткриени.

Истражувачите обезбедуваат детална техничка анализа на некои од носивостите спакувани со Shanya.

Извештајот, исто така, вклучува индикатори за компромис (IoCs) поврзани со кампањите кои ја користат Shanya.

Извори:

  • Bleeping Computer– Ransomware gangs turn to Shanya EXE packer to hide EDR killers Bleeping Computer