Nuevo EDR Killer utilizado por bandas de ransomware: así evaden antivirus y EDR

Una nueva y sofisticada herramienta de ciberataque ha sido identificada por expertos en seguridad como la evolución del EDRKillShifter, una herramienta previamente vinculada a ataques de ransomware. Este nuevo EDR killer, aún sin nombre oficial, ha sido detectado en operaciones realizadas por al menos ocho grupos de ransomware activos, incluyendo RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx e INC.

¿Qué es un EDR Killer y cómo funciona?

Los EDR killers (EndPoint Detection and Response Killers) son herramientas diseñadas específicamente para deshabilitar soluciones de seguridad en los sistemas comprometidos, permitiendo a los actores maliciosos ejecutar cargas útiles maliciosas, escalar privilegios, moverse lateralmente dentro de la red y cifrar dispositivos sin ser detectados.

La nueva herramienta identificada por investigadores de Sophos presenta un enfoque particularmente avanzado. Utiliza un binario altamente ofuscado que se decodifica a sí mismo durante el tiempo de ejecución y se inyecta en procesos legítimos del sistema operativo, haciendo extremadamente difícil su detección por soluciones antivirus tradicionales.

Técnica BYOVD: Un ataque silencioso y efectivo

Uno de los aspectos más alarmantes de esta herramienta es su uso de la táctica conocida como Bring Your Own Vulnerable Driver (BYOVD). Esta técnica permite que los atacantes carguen controladores del sistema maliciosos —a menudo firmados digitalmente con certificados robados o caducados— que se hacen pasar por componentes legítimos del sistema, como el CrowdStrike Falcon Sensor Driver.

Una vez cargado el controlador malicioso en el kernel del sistema operativo, la herramienta tiene acceso a nivel de kernel, permitiéndole eliminar procesos de antivirus (AV) y soluciones EDR, así como detener servicios clave de seguridad. Entre los proveedores de seguridad atacados por esta técnica se encuentran:

• Microsoft Defender
• Sophos
• Kaspersky
• Symantec
• Trend Micro
• SentinelOne
• Cylance
• McAfee
• F-Secure
• HitmanPro
• Webroot

Esta capacidad de desactivar múltiples soluciones de ciberseguridad de alto perfil convierte a esta nueva herramienta en una amenaza crítica para organizaciones de todos los tamaños.

Variantes y colaboración entre grupos de ransomware

De acuerdo con Sophos, la herramienta EDR killer identificada no es una única versión reutilizada entre bandas, sino un conjunto de variantes personalizadas. Cada grupo de ransomware parece operar con su propia versión modificada de la herramienta, pero todas comparten un conjunto común de características, incluyendo el uso del empaquetador HeartCrypt.

Esto ha llevado a los investigadores a concluir que existe una infraestructura compartida o colaboración entre actores de amenazas, incluso si pertenecen a bandas de ransomware aparentemente rivales. Sophos afirma que la herramienta no ha sido filtrada públicamente, sino que ha sido desarrollada de forma paralela bajo un marco compartido entre distintos grupos.

Citar"Para ser claros, no es que un solo binario del asesino de EDR se haya filtrado y compartido entre los actores de amenazas. En cambio, cada ataque utilizó una versión diferente de la herramienta propietaria", explicó Sophos.

Un patrón creciente en el uso de herramientas compartidas

La colaboración entre bandas de ransomware en el desarrollo y uso de herramientas evasivas no es nueva. Además del ya conocido EDRKillShifter, Sophos también ha detectado el uso de una herramienta similar llamada AuKill, utilizada por las bandas MedusaLocker y LockBit.

Por otro lado, la firma SentinelOne reveló el año pasado que el grupo FIN7 vendía su herramienta de evasión de seguridad llamada AvNeutralizer a grupos como BlackBasta, AvosLocker, MedusaLocker, BlackCat, Trigona y LockBit, todos ellos responsables de ataques de ransomware a gran escala.

Estas tácticas evidencian una preocupante tendencia en el ecosistema del cibercrimen: la profesionalización y comercialización de herramientas avanzadas de evasión, que facilitan la ejecución de ataques complejos a gran escala con un nivel de sofisticación cada vez mayor.

Indicadores de compromiso y prevención

Los Indicadores de Compromiso (IoC) asociados con esta nueva herramienta EDR killer están disponibles públicamente en un repositorio de GitHub, lo que permite a los profesionales de seguridad verificar y actualizar sus defensas.

Se recomienda a todas las organizaciones que:

• Actualicen regularmente sus soluciones de EDR y antivirus.
• Implementen detección de comportamiento a nivel de kernel.
• Realicen auditorías constantes de controladores instalados.
• Monitoreen el uso de certificados digitales en su red.

En fin, el surgimiento de esta nueva herramienta asesina de EDR representa una evolución peligrosa en las tácticas de ransomware, con implicaciones graves para la seguridad de las redes corporativas. La colaboración entre grupos criminales, el uso de tácticas como BYOVD y la personalización de herramientas evasivas subrayan la importancia de contar con estrategias de defensa proactivas y sistemas de detección avanzados.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login