Atacantes de Ransomware introducen una nueva herramienta denominada “EDR killer”
Photo by Growtika / Unsplash

Atacantes de Ransomware introducen una nueva herramienta denominada “EDR killer”

Analistas de Sophos encontraron recientemente un nuevo EDR killer desplegado por un grupo criminal que intentaba atacar a una organización con un Ransomware llamado RansomHub.

Sophos sobre amenazas cibernéticas: Uso de datos robados por bandas de ransomware
Las bandas de ransomware manipulan datos robados para extorsionar a empresas y líderes, intensificando la presión y el daño reputacional.

Aunque el ataque finalmente no tuvo éxito, el análisis reveló la existencia de una nueva herramienta —llamada EDRKillShifter— diseñada para acabar con el software de protección de endpoints.

Desde 2022, se ha visto un aumento de la sofisticación del malware diseñado para desactivar los sistemas EDR en un sistema infectado, a medida que los clientes adoptan cada vez más herramientas EDR para proteger los endpoints. Sophos publicó anteriormente una investigación sobre AuKill, un EDR killer que Sophos X-Ops descubrió el año pasado y que se vendía en mercados ilegales.

Un 76% de las empresas mejoraron su protección frente a ciberataques para acceder a un seguro
Hoy lamentablemente los costos de recuperación por ciberataques superan las coberturas del seguro

Durante el incidente de mayo, los actores de la amenaza (Sophos estima con una confianza moderada que esta herramienta está siendo usada por múltiples atacantes) intentaron utilizar EDRKillShifter para desactivar la protección de Sophos en el ordenador objetivo, pero la herramienta falló.

A continuación, intentaron avanzar con el ejecutable del Ransomware en la máquina que controlaban, pero también falló al activarse la función CryptoGuard del agente de endpoints. 

Cómo funciona EDRKillShifter 

La herramienta EDRKillShifter es un ejecutable “cargador”, un mecanismo de entrega para un controlador legítimo que es vulnerable al abuso (también conocido como herramienta “trae tu propio controlador vulnerable” o BYOVD). Dependiendo de los requisitos del actor de la amenaza, puede entregar una variedad de cargas útiles de controladores diferentes. 

El proceso de ejecución de este cargador consta de tres pasos. El atacante debe ejecutar EDRKillShifter con una línea de comandos que incluya una cadena de contraseña. Cuando se ejecuta con la contraseña correcta, el ejecutable descifra un recurso incrustado llamado BIN y lo ejecuta en la memoria. 

Robo de credenciales con ingeniería social afecta a 800 organizaciones en todo el mundo
En 51 días, un grupo de atacantes, probablemente originarios de Rusia, envió más de 2.000 correos electrónicos de phishing dirigidos a casi 800 empresas y organizaciones en los sectores de gobierno, salud, energía e infraestructura crítica.

El código BIN desempaqueta y ejecuta la carga útil final. Esta carga útil final, escrita en el lenguaje de programación Go, suelta y explota uno de una variedad de diferentes controladores legítimos vulnerables para obtener privilegios suficientes para desactivar la protección de una herramienta EDR. 

Mitigación y consejos

 Sophos detecta actualmente EDRKillShifter como Troj/KillAV-KG. Además, las reglas de protección de comportamiento que protegen contra la evasión de defensas y la escalada de privilegios bloquean el paso de estas llamadas al sistema. Las empresas y los particulares también pueden tomar medidas adicionales para defender sus máquinas contra el abuso de controladores: 

Sophos X-Ops recomienda comprobar si el producto de seguridad para endpoints implementa y activa la protección contra manipulaciones. Esta función proporciona una capa sólida contra este tipo de ataques. Para usuarios de productos de Sophos que no tienen activada la protección antimanipulación, la marca recomienda activarla cuanto antes. 

97% de las víctimas de Ransomware reconocen ataques y colaboran con autoridades
Sophos ha publicado los resultados adicionales de su encuesta anual “The State of Ransomware 2024”. Según el informe, entre las organizaciones encuestadas, el 97% de las afectadas por ransomware en el último año se pusieron en contacto con las autoridades y/o los organismos oficiales para solicitar ayuda. Informe de

Otra sugerencia es practicar una higiene estricta de las funciones de seguridad de Windows. Este ataque solo es posible si el atacante escala los privilegios que controla, o si puede obtener derechos de administrador. La separación entre privilegios de usuario y de administrador puede ayudar a evitar que los atacantes carguen fácilmente los controladores. 

También es necesario mantener el sistema actualizado. Desde el año pasado, Microsoft ha empezado a impulsar actualizaciones que descertifican los controladores firmados de los que se sabe que se ha abusado en el pasado.

Gartner reconoce a Sophos por sus soluciones de firewalls y endpoints
Este es el tercer año consecutivo en el que han reconocido a Sophos como proveedor Customers´ Choice en ambos mercados.

Francisco Carrasco M.

Francisco Carrasco, editor general y periodista azul especializado en TI con más de 22 años en el mercado local e internacional, quien trabajo por 15 años con la destacada editorial IDG International.