El cibercrimen sube la apuesta. Un actor de amenazas conocido como “Crypt4You” ha comenzado a vender una herramienta capaz de terminar procesos de seguridad críticos con privilegios máximos, dejando a los sistemas totalmente indefensos.
El mercado negro de la ciberseguridad tiene un nuevo “bestseller”. Investigadores han detectado la comercialización activa de VOID KILLER, una herramienta diseñada no para esconder el malware, sino para destruir las defensas que intentan detenerlo. Comercializado en foros clandestinos y la Dark Web, este software promete ser el “asesino definitivo” de antivirus (AV) y soluciones de Respuesta y Detección de Endpoint (EDR).
¿Qué es VOID KILLER?
A diferencia de los “crypters” tradicionales, que intentan ofuscar el código malicioso para que no sea legible por el antivirus, VOID KILLER adopta un enfoque ofensivo directo.
Su principal característica es la ejecución a nivel de Kernel. Al operar en el núcleo mismo del sistema operativo, la herramienta obtiene los privilegios más altos posibles, permitiéndole terminar procesos que normalmente están protegidos contra usuarios e incluso administradores estándar.
Capacidades y Promesas
Según los anuncios analizados por los investigadores, la herramienta ofrece características alarmantes:
- Terminación Instantánea: Afirma poder “matar” los procesos de Windows Defender y de aproximadamente 50 soluciones antivirus de consumo de manera inmediata.
- Evasión Total: Promete cero detecciones tanto en el escaneo estático como en tiempo de ejecución (runtime).
- Polimorfismo: Genera hashes de archivo nuevos con cada compilación, lo que inutiliza las defensas basadas en firmas tradicionales.
- Bypass de UAC: Incluye mecanismos automáticos para eludir el Control de Cuentas de Usuario de Windows, escalando privilegios sin alertar a la víctima.
Modelo de Negocio: Malware como Servicio
El actor Crypt4You no solo vende el software, sino que ha estructurado un modelo de negocio escalonado:
- Versión Estándar: Por un precio de $300 USD (pagaderos en Bitcoin, Monero, etc.), los criminales obtienen una compilación personalizada capaz de neutralizar defensas de consumo.
- Versión Enterprise: Se ofrecen variantes más costosas y específicas diseñadas para atacar soluciones corporativas de primer nivel como CrowdStrike y SentinelOne.
El Peligro para las Empresas
La aparición de herramientas como VOID KILLER reduce drásticamente la barrera de entrada para grupos de ransomware y afiliados menos técnicos. Ya no necesitan ser expertos en ingeniería inversa para desactivar un EDR; simplemente pueden comprar esta herramienta para “cegar” a los equipos de seguridad antes de desplegar su carga útil final.
Recomendaciones
- Protección de Drivers: Configurar Windows para bloquear la carga de controladores vulnerables o no firmados (reglas de ASR y HVCI).
- Defensa en Profundidad: No confiar únicamente en el EDR. Implementar segmentación de red y monitoreo de comportamiento anómalo que no dependa exclusivamente de agentes en el endpoint.
- Monitoreo de Privilegios: Vigilar de cerca cualquier intento de escalada de privilegios o manipulación de procesos críticos del sistema (lsass.exe, servicios de seguridad).
