Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Packer-as-a-Service Shanya крие рансомвер и го убива EDR

Објавено: 10.12.2025

Веројатно сте запознаени со ransomware-as-a-service (RaaS), но сега постои и packer-as-a-service.

Безбедносната компанија Sophos на 6 декември објави истражување за „Shanya“, фамилија packer-as-a-service која го надградува рансомверот така што може да го избегне анти-малвер софтверот. Додека ransomware-as-a-service им обезбедува на напаѓачи со пониско ниво изнудувачки малвер што инаку не би можеле да го создадат, packer-as-a-service (PaaS) обезбедува обвивка околу постоечки рансомвер што делува како дополнителен слој на замаглување (обфускација).

Shanya го покрива истиот терен каде што веќе се движи PaaS операцијата HeartCrypt, која во изминатава година цврсто се вгнезди во модерниот рансомвер-екосистем. Според Габор Сзапанос и Стив Годро од Sophos, Shanya „веќе е фаворизирана од рансомвер групите и до одреден степен ја презема улогата што HeartCrypt ја имаше во алатките за рансомвер.“

Sophos исто така соопшти дека забележал користење на Shanya низ сите четири хемисфери во текот на 2025 година, иако во некои земји повеќе од други. Тунис имал најмногу случаи; веднаш зад него бил ОАЕ.

Shanya: Убиец на EDR

Sophos ја опишува Shanya пред сè како алатка за уништување на EDR (endpoint detection and response) која го расчистува патот за малверот да стигне до својата цел.

Како EDR „убиец“, payload-от испушта чист драјвер и злонамерен неподпишан kernel драјвер во околината на метата. Чистиот драјвер, кој е поврзан со легитимна програма, се вчитува за да не предизвика аларми, додека злонамерниот драјвер го злоупотребува чистиот — користејќи го за write пристап. Ова му овозможува на злонамерниот драјвер да ги таргетира различните процеси и сервиси поврзани со безбедносни производи за нивно прекинување и бришење.

Sophos забележал дека оваа функционалност ја користат повеќе криминални групи, вклучувајќи ги Akira, Medusa, Qilin и Crytox. Исто така, била употребена и во напади од типот ClickFix со тема Booking.com, користејќи слични техники на DLL side-loading за имплементација на CastleRAT.

Одбрана од EDR убиецот

Според Сзапанос и Годро, овој тип малвер нема да исчезне скоро.

„Понудите за packer-as-a-service и EDR убиеците ќе останат со нас во догледна иднина,“ се вели во блог-постот. „Комбинацијата од двете е многу популарна кај рансомвер групите. Бидејќи постои потреба и финансиски мотив, не можеме да очекуваме овој специфичен тип малвер да исчезне брзо — и без сомнение ќе видиме понатамошно еволуирани верзии во иднина.“

Блог-постот на Sophos вклучува индикатори на компромитација (преку GitHub), како и заштити вградени во нивниот сопствен производ.

Иако PaaS малверот претставува загрижувачко надополнување на ransomware-as-a-service екосистемот, важно е да се запамети дека добрата општа „хигиена“ против рансомвер сè уште помага. Користете доверлив EDR производ, користете IOCs (индикатори на компромитација), едуцирајте ги корисниците да избегнуваат социјално инженерство како горенаведениот ClickFix и редовно инсталирајте ги безбедносните закрпи.

Извори:

  • Dark Reading – Packer-as-a-Service Shanya Hides Ransomware, Kills EDR Dark Reading