Investigadores de seguridad de Sophos han detectado una nueva herramienta de desactivación de sistemas de detección y respuesta en endpoints (EDR), considerada la evolución de “EDRKillShifter” desarrollada originalmente por el grupo RansomHub. Esta versión ha sido utilizada en ataques por al menos ocho grupos de ransomware: RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx y INC.
Este tipo de utilidades permiten a los atacantes desactivar productos de seguridad en sistemas comprometidos, lo que facilita la ejecución de cargas maliciosas, la escalada de privilegios, el movimiento lateral dentro de la red y, finalmente, el cifrado de dispositivos sin ser detectados.
Técnicas avanzadas para evadir la detección
El nuevo EDR killer emplea un binario fuertemente ofuscado que se autodecodifica en tiempo de ejecución e inyecta su código en aplicaciones legítimas. Su mecanismo de ataque incluye la búsqueda de un controlador firmado digitalmente (con un certificado robado o caducado) cuyo nombre aleatorio de cinco caracteres está codificado en el ejecutable.
Una vez localizado, el controlador malicioso se carga en el kernel, utilizando la técnica “Bring Your Own Vulnerable Driver” (BYOVD) para obtener privilegios de kernel y desactivar herramientas de seguridad. Para camuflarse, el driver se hace pasar por archivos legítimos, como el controlador de CrowdStrike Falcon Sensor, mientras elimina procesos y servicios asociados a soluciones de protección.
Fabricación y uso compartido del arma digital
Los fabricantes de software de seguridad objetivo incluyen Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro y Webroot. Aunque existen variaciones en los nombres de los controladores, los antivirus atacados y la construcción del binario, todas las versiones detectadas utilizan el empaquetador HeartCrypt.
Sophos señala que no se trata de una sola versión filtrada y reutilizada, sino de múltiples compilaciones creadas dentro de un marco de desarrollo compartido entre grupos criminales. Este enfoque colaborativo en el desarrollo de EDR killers se ha vuelto común en el ecosistema del ransomware.
Contexto en la industria del cibercrimen
Además de EDRKillShifter, Sophos identificó otra herramienta llamada “AuKill”, utilizada por Medusa Locker y LockBit. Por su parte, SentinelOne informó en 2024 sobre “AvNeutralizer”, una utilidad desarrollada por el grupo FIN7 y vendida a distintas bandas de ransomware, incluyendo BlackBasta, AvosLocker, MedusaLocker, BlackCat, Trigona y LockBit.
La tendencia muestra un aumento en la sofisticación y colaboración entre actores maliciosos para desarrollar utilidades específicas que neutralicen defensas corporativas antes de un ataque de ransomware.
Recomendaciones para organizaciones
Para mitigar el riesgo ante este tipo de amenazas, se recomienda:
- Mantener actualizados todos los controladores y firmar únicamente con certificados válidos y protegidos.
- Implementar monitoreo a nivel de kernel para detectar comportamientos anómalos.
- Restringir privilegios administrativos y segmentar la red para limitar el movimiento lateral.
- Aplicar listas blancas de controladores autorizados (Driver Blocklist).
- Utilizar soluciones EDR con protección contra BYOVD.
- Realizar pruebas de respuesta ante incidentes con escenarios que incluyan la desactivación de defensas.
- Mantener una política estricta de gestión de certificados digitales.
La detección temprana y la respuesta rápida son esenciales para contrarrestar este tipo de herramientas, cuyo objetivo principal es dejar a las organizaciones ciegas frente a un ataque inminente.
