54 киллера EDR используют BYOVD для эксплуатации 35 подписанных уязвимых драйверов и отключения безопасности

Подождите — 54 различных киллера EDR теперь используют 35 подписанных уязвимых драйверов через атаки BYOVD (Bring Your Own Vulnerable Driver). Это не просто очередная уязвимость; это полномасштабная атака на безопасность конечных точек, дающая злоумышленникам доступ на уровне ядра для прямого отключения ваших защитных механизмов. Группы вымогателей активно этим пользуются, и показатели успешности растут. Если ваша система безопасности не обновлена, вы по сути передаёте ключи от королевства.

Атаки BYOVD — это новый стандарт для обхода EDR. Злоумышленники приносят свои собственные подписанные, но уязвимые драйверы, эксплуатируют их для получения привилегий ядра, а затем просто... отключают ваши средства безопасности. Это как прийти на драку с ломом и сначала отключить сигнализацию. Эти 35 драйверов — слабые звенья, и как только они оказываются внутри, игра для ваших конечных точек окончена.

Последствия? Огромные. Операторы программ-вымогателей используют это для повышения успешности шифрования, потому что зачем скрываться, если можно просто устранить охрану? Это не теория — это активно используется в реальных условиях, и этим пользуются несколько угрозовых групп. Если вы не отслеживаете загрузку драйверов и не исправляете уязвимые драйверы, вы оставляете огромную брешь в своей защите.

Суть: это сигнал тревоги. EDR недостаточно, если базовые драйверы скомпрометированы. Вам необходимо провести аудит ваших драйверов, исправить известные уязвимости и внедрить строгую политику загрузки драйверов. Потому что в 2026 году безопасность — это не только обнаружение угроз, но и предотвращение их возможности отключить ваши системы в первую очередь.