Resumen Ejecutivo
En un reciente incidente de seguridad, descubrió una nueva y sofisticada arma en el arsenal de los cibercriminales: EDRKillShifter. Esta herramienta, diseñad se a para desactivar las soluciones de protección de endpoints (EDR), fue utilizada en un intento de ataque por el grupo detrás del ransomware RansomHub. Afortunadamente, la defensa de la organización objetivo evitó el daño, pero el descubrimiento de esta herramienta plantea nuevas preocupaciones en el campo de la ciberseguridad.
Detalles del Descubrimiento
Durante el mes de mayo, Sophos X-Ops se enfrentó a un intento de ataque de ransomware que, si bien fue neutralizado, reveló una preocupante evolución en las tácticas de los atacantes. La herramienta descubierta, EDRKillShifter, se trata de un ejecutable que utiliza un driver legítimo pero vulnerable para desactivar las soluciones EDR, aprovechando una técnica conocida como BYOVD (Bring Your Own Vulnerable Driver).
El proceso de ejecución de EDRKillShifter es complejo y consta de múltiples capas de cifrado y auto-modificación del código, dificultando su análisis. Sophos logró identificar que la herramienta estaba diseñada para desactivar específicamente las soluciones de seguridad de Sophos, entre otras, aunque falló en su cometido gracias a las capacidades de protección del sistema.
Funcionamiento del EDRKillShifter
La herramienta sigue un proceso de ejecución en tres etapas:
- Capa de Cifrado Inicial: El atacante debe proporcionar una contraseña específica para iniciar la ejecución. Una vez autenticada, la herramienta carga en memoria un recurso encriptado que luego se descifra y ejecuta.
- Despliegue del Payload Final: La segunda capa de EDRKillShifter utiliza técnicas de auto-modificación del código para ocultar las instrucciones reales hasta el momento de la ejecución. Esto complica su análisis por parte de los investigadores.
- Ataque a la Protección EDR: El payload final despliega un driver vulnerable que se instala en el sistema objetivo, y desde allí comienza a desactivar procesos clave de las soluciones de seguridad.
Recomendaciones de Mitigación
Sophos ha catalogado esta amenaza como Troj/KillAV-KG y ha implementado reglas de protección que bloquean las llamadas al sistema relacionadas con este ataque. Sin embargo, se recomienda a las organizaciones y usuarios individuales tomar medidas adicionales:
- Activar la Protección contra Manipulaciones: Si usa productos de Sophos, asegúrese de tener activada esta función para prevenir ataques de este tipo.
- Mantener una Estricta Separación de Roles en Windows: Limite los privilegios de administrador y mantenga roles de usuario bien definidos para minimizar el riesgo de escalada de privilegios.
- Actualizar Sistemas Regularmente: Microsoft ha lanzado actualizaciones que deshabilitan drivers vulnerables conocidos; asegúrese de mantener su sistema al día.
Conclusión
El descubrimiento de EDRKillShifter marca un nuevo desafío para la ciberseguridad. A medida que los atacantes perfeccionan sus herramientas para evadir las defensas, es crucial que las organizaciones adopten un enfoque proactivo en la protección de sus endpoints. La implementación de soluciones robustas y la actualización constante de sistemas son esenciales para mitigar estas amenazas.