舊版鑑識軟體元件遭濫用，駭客以此打造能癱瘓EDR運作的工具，從事勒索軟體攻擊活動

事件背景

駭客利用已註銷的EnCase資安鑑識工具元件，開發出一種能癱瘓端點偵測與回應（EDR）系統的惡意工具，該工具被稱為「EDR killer」，可識別並繞過多種資安防護系統。

此惡意工具為64位元的二進位檔案，駭客將其偽裝成韌體更新工具，以欺騙使用者安裝，進而植入系統核心層級，一旦發現EDR系統運作，即會立即中斷其運作流程。

該工具可識別59種資安防護工具的處理程序，並在作業系統核心層級直接執行攻擊行為，有效避免被端點防護系統偵測與阻斷。

此類攻擊主要用於勒索軟體攻擊活動，讓攻擊者能在未被防禦系統攔截的情況下，對目標系統進行加密與勒索，增加攻擊成功率與隱蔽性。