كشف تحليل أمني جديد أن 54 أداة خبيثة مخصصة لتعطيل أنظمة الكشف والاستجابة للنقاط الطرفية (EDR) تستغل تقنية تعرف باسم "إحضار برنامج التشغيل المعرض للاختراق الخاص بك" (BYOVD). تستغل هذه الأدوات مجتمعة مجموعة من 34 برنامج تشغيل مختلف موقَّع رقمياً ولكن به ثغرات أمنية لتعطيل البرامج الأمنية. أصبحت أدوات تعطيل EDR عنصراً أساسياً في سلاسل هجمات البرامج الضارة الفدية، حيث توفر للمهاجمين، وخاصة الشركاء في عمليات "البرامج الضارة الفدية كخدمة" (RaaS)، طريقة لتحييد التدابير الدفاعية قبل نشر حمولات التشفير. يعد هذا التعطيل الاستباقي تكتيكاً حاسماً للتجنب، مما يسمح لعملية التشفير الصاخبة والمعطلة للملفات بالمضي قدماً دون اكتشاف.
المنطق التشغيلي وراء استخدام أدوات تعطيل EDR منفصلة يقوم على الكفاءة والتخصص. كما أشار الباحث في ESET، جاكوب سوتشيك، فإن برامج تشفير الفدية "صاخبة" بطبيعتها بسبب الحاجة إلى تعديل عدد كبير من الملفات بسرعة، مما يجعل إخفاءها أمراً صعباً. من خلال تفريغ وظيفة تعطيل الأمان إلى مكون خارجي مخصص، يمكن لمشغلي البرامج الضارة الفدية الحفاظ على برنامج التشفير الأساسي الخاص بهم أكثر بساطة واستقراراً وسهولة في إعادة البناء للحملات الجديدة. بينما دمجت بعض عائلات البرامج الضارة الفدية، مثل Reynolds، قدرات تعطيل EDR مباشرة في ثنائياتها، يظل النهج المعياري سائداً. يشير تحليل ESET إلى أنه من بين ما يقرب من 90 أداة لتعطيل EDR تم تحديدها، أكثر من النصف—54 أداة—تعتمد على أسلوب BYOVD نظراً لفاعليته الموثوقة.
تقنية BYOVD قوية لأنها تستغل صلاحيات النظام عالية المستوى الممنوحة لبرامج تشغيل النواة الموقعة. كما أوضحت شركة Bitdefender، فإن هدف الهجوم هو تحقيق صلاحيات وضع النواة غير المقيدة "المستوى 0". نظراً لأن أنظمة Windows الحديثة تمنع تحميل برامج التشغيل غير الموقعة، فإن المهاجمين بدلاً من ذلك يجلبون برنامج تشغيل شرعي من بائع ذي سمعة طيبة (مثل شركة تصنيع أجهزة أو إصدار قديم من مضاد فيروسات) يحتوي على عيب أمني معروف. من خلال استغلال هذه الثغرة، يمكن للمهاجم تنفيذ تعليمات برمجية عشوائية بأعلى صلاحيات النظام، مما يسمح له العبث بعمليات EDR أو إنهاؤها، وتعطيل آليات الأمان، وتمهيد الطريق في النهاية لنشر البرامج الضارة الفدية.
يؤكد هذا الاتجاه تحولاً كبيراً في مشهد التهديدات، حيث أصبح أمان سلسلة توريد البرامج—بما في ذلك برامج التشغيل التابعة لجهات خارجية—أمراً بالغ الأهمية. حقيقة أن 34 برنامج تشغيل موقَّع قد تم تسليحها تسلط الضوء على تحدي مستمر: يمكن للمكونات البرمجية الشرعية التي تحتوي على ثغرات أن تصبح ناقلات هجوم قوية بعد فترة طويلة من اكتشاف عيوبها. تتطلب الدفاع ضد هجمات BYOVD استراتيجية متعددة الطبقات، تشمل تطبيق قوائم السماح القوية للتطبيقات لحظر برامج التشغيل المعرضة للاختراق المعروفة، وإدارة اليقظة للتحديثات الأمنية لجميع برامج النظام، ونشر حلول أمنية قادرة على اكتشاف ومنع محاولات تصعيد الامتيازات القائمة على برامج التشغيل على مستوى النواة.
