EDR無効化ツールがランサムグループ間で大流行　複数ベンダーの製品が標的か

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [EDR無効化ツールがランサムグループ間で大流行　複数ベンダーの製品が標的か](https://www.itmedia.co.jp/enterprise/articles/2508/09/news018.html)【ITmedia エンタープライズ】(2025年08月09日) --- > [!NOTE] この記事の要約（箇条書き） - Sophosは、ランサムウェア攻撃でEDR（Endpoint Detection and Response）無効化ツールが広く利用されていることを分析・公表しました。 - RansomHubが開発した「EDRKillShifter」などのツールは、難読化（例：HeartCrypt）や偽装ドライバーを用いてEDR製品の検出を回避します。 - 複数のセキュリティベンダー製品（Sophos、CrowdStrikeなど）が標的とされています。 - RansomHub、Blacksuit、Medusa、Qilinなど多数のランサムウェアグループがこれらのツールを組み合わせて使用しています。 - 脅威グループ間で技術やツールの共有が進んでおり、ランサムウェアの活動がエコシステム化していることが示唆されています。 > [!NOTE] 要約おわり --- ## EDR無効化ツールがランサムグループ間で大流行　複数ベンダーの製品が標的か：セキュリティニュースアラート SophosはEDR無効化ツールの分析結果を公表し、複数のランサムウェア攻撃において、難読化や偽装ドライバーを使った検出回避の手法が確認された。脅威グループ間での技術共有の兆候があり、攻撃のエコシステム化が進んでいる。 » 2025年08月09日 07時00分公開 \[，有限会社オングス\] この記事は会員限定です。会員登録すると全てご覧いただけます。　Sophosは2025年8月6日（現地時間）、複数のランサムウェア攻撃で利用されているEDR（Endpoint Detection and Response）無効化ツールの分析結果を発表した。　ランサムウェアグループ「RansomHub」が作成した「EDRKillShifter」やその後継とみられるツールの挙動、複数の脅威グループ間での技術やツールの共有の可能性が示されている。 ## EDR無効化ツールがランサムグループ間で大流行　複数ベンダーの製品が標的か　これらのツールは、感染端末上でEDRの機能を無効化し、攻撃者が検知を回避しながら活動を継続できるよう意図されている。Sophosの調査によると、2022年以降、検出回避機能の高度化が進んでおり、地下マーケットでの売買や「HeartCrypt」のようなPacker-as-a-Serviceによる難読化も確認されている。 [続きを読む](https://id.itmedia.co.jp/isentry/contents?sc=56cc29cee9e859a5314952b8184da882e2482d7bc17234b4ca333bfffe5f74f3&lc=cdad86ca9450d1c143675a8436131cabaf55905c114fa4524bf6a9ec5662cad7&ac=1a599d548ac1cb9a50f16ce3ba121520c8ab7e05d54e097bfa5b82cb5a328a0f&cr=90cfa6d666682f8b5dc3c798020e432fc294ef430deb069008d4f8bceeb02418&bc=1&return_url=https%3A%2F%2Fwww.itmedia.co.jp%2Fenterprise%2Farticles%2F2508%2F09%2Fnews018.html&pnp=1&encoding=shiftjis) 　分析対象となっている「AV killer」ツールは、複数のセキュリティ製品を終了させる機能を持つ。Sophos製品を含む多数のベンダー製品が標的となっており、検出したサンプルでは偽装ドライバーが使われている。ドライバーはランダムな5文字の名称で、侵害された証明書によって署名されており、CrowdStrike製品を装う事例も報告されている。　Sophosの観測によると、この種のEDR無効化ツールはRansomHub、「Blacksuit」「Medusa」「Qilin」「Dragonforce」「Crytox」「Lynx」「INC」など多数のランサムウェアと組み合わせて使用されている。攻撃の典型的な流れとして、HeartCryptで難読化されているドロッパーが実行され、そこからEDR無効化ツールが展開され、侵害された証明書付きドライバーを読み込み、最終的にランサムウェアを実行するケースが多いという。　特筆すべき事例として、「MedusaLocker」攻撃では「SimpleHelp」のゼロデイのリモートコード実行（RCE）を悪用した可能性が指摘されている。2025年6月のINCランサムウェア事例において、既知のEDR無効化ツールに加え、過去に報告されているパッカーの改良版を重ねて使用するなど、多層的な保護回避が実行されていた。　Sophosは、同一の実行ファイルが共有されているわけではなく、それぞれ異なるビルドのツールが使用されている点を強調している。しかし、HeartCryptによる難読化の共通利用や攻撃手法の類似性から、脅威グループ間での情報・技術の共有または漏えいが起きている可能性が高いと分析している。これらの傾向は、ランサムウェアの活動構造が単なる競合関係にとどまらず、複雑に絡み合ったエコシステムになっていることを示している。 Special PR