Admin
Администратор
Группировка The Gentlemen использовала уязвимый драйвер ktapi.sys для отключения EDR перед запуском шифровальщика. Драйвер позволял читать и изменять память ядра Windows, обходя защитные механизмы, включая PatchGuard, SMAP и SMEP. Эксплойт завершал процессы защитных продуктов, таких как Microsoft Defender и ESET. Microsoft уже отключила автоматическое доверие к устаревшим драйверам в новых версиях Windows, но проблема BYOVD-атак остаётся актуальной. Рекомендуется включать изоляцию ядра и использовать Windows Defender Application Control для защиты.