В новых атаках Medusa используют вредоносный драйвер, который обходит защиту EDR. Этот драйвер имеет подпись украденного сертификата. Ученые из Elastic Security Labs назвали его ABYSSWORKER. Новый вирус (smuol.sys) распространяется с помощью атаки BYOVD. Он устанавливается с загрузчиком, который защищен HeartCrypt, и использует ABYSSWORKER для отключения EDR или других средств защиты. Вредоносный драйвер представляет себя, как легальный драйвер…