Una nueva herramienta diseñada para desactivar soluciones de detección y respuesta en endpoints (EDR) está dando mucho de qué hablar en el mundo de la ciberseguridad. Considerada como una evolución del conocido "EDRKillShifter", esta versión más avanzada ha sido vinculada a ataques realizados por al menos ocho grupos de ransomware, incluyendo a RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx e INC.
Según un informe de Sophos, esta herramienta aún sin nombre oficial está siendo usada activamente para desactivar defensas clave en sistemas comprometidos, facilitando la instalación de cargas maliciosas, la escalada de privilegios, el movimiento lateral dentro de la red y, en última instancia, el cifrado masivo de dispositivos sin ser detectados.
En otras palabras: los operadores de ransomware están utilizando esta herramienta como un primer paso para dejar a las redes indefensas antes de desplegar sus ataques. Y lo más preocupante es que no se trata de un caso aislado. Esta técnica ya se está convirtiendo en un patrón repetido entre bandas de ransomware cada vez más organizadas.
Cómo funciona EDR Killer para evadir la detección y desactivar la seguridad
La nueva herramienta conocida como EDR Killer lleva el sigilo a otro nivel. Utiliza un binario altamente ofuscado que se autodecodifica en tiempo real y luego se inyecta en procesos legítimos del sistema, lo que dificulta enormemente su detección por parte de las soluciones de seguridad.
Una vez dentro, la herramienta busca un controlador firmado digitalmente, que puede haber sido firmado con un certificado robado o incluso ya caducado. Este controlador tiene un nombre aleatorio de cinco caracteres y está codificado dentro del ejecutable, lo que añade otra capa de evasión.
Certificado robado y caducado utilizado por el controlador malicioso (Fuente: Sophos)
Si logra encontrarlo, el siguiente paso es clave: cargar ese controlador directamente en el kernel del sistema. Esto le permite ejecutar un ataque del tipo BYOVD (Bring Your Own Vulnerable Driver o “trae tu propio controlador vulnerable”), una técnica bien conocida que los atacantes usan para obtener privilegios a nivel del núcleo y, desde ahí, desactivar productos de seguridad con total libertad.
Una vez en acción, el controlador malicioso se disfraza como un archivo legítimo, haciéndose pasar por componentes reconocidos como el CrowdStrike Falcon Sensor Driver. Pero bajo esa fachada inocente, su propósito es claro: terminar procesos de antivirus y EDR activos y detener los servicios asociados a herramientas de seguridad.
Entre los proveedores más afectados por esta táctica se encuentran Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro y Webroot. En otras palabras, los nombres más importantes del sector.
Aunque existen variantes de esta nueva herramienta EDR Killer (que cambian en nombres de controladores, motores antivirus atacados y opciones de compilación) todas comparten algo en común: utilizan un empaquetador llamado HeartCrypt. Esto sugiere que hay cooperación entre grupos de ransomware, incluso entre rivales.
Podría interesarte leer: Ghost Calls: Táctica Convierte Zoom y Teams en Instrumentos de Ataque
El uso compartido de herramientas EDR Killer entre bandas de ransomware
Según Sophos, no se trata de que una versión de la herramienta se haya filtrado y luego copiado por otros. Más bien, se cree que estas versiones forman parte de un framework compartido, desarrollado de forma colaborativa entre distintos actores maliciosos.
“Para ser claros, no es que un solo binario del asesino de EDR se filtró y se compartió entre los actores de amenazas. En cambio, cada ataque utilizó una versión diferente de la herramienta propietaria”, explicó Sophos.
Este intercambio de herramientas no es algo nuevo en el ecosistema del ransomware. De hecho, junto con esta evolución del EDRKillShifter, Sophos también identificó otra herramienta llamada AuKill, que fue utilizada por Medusa Locker y LockBit en campañas recientes.
Por su parte, SentinelOne reveló en 2023 que FIN7, un conocido grupo de ciberdelincuentes, vendía su propia herramienta personalizada llamada AvNeutralizer a múltiples bandas de ransomware, incluyendo BlackBasta, AvosLocker, MedusaLocker, BlackCat, Trigona y nuevamente LockBit.
Si quieres profundizar en los indicadores de compromiso (IOCs) relacionados con esta nueva ola de herramientas asesinas de EDR, puedes consultarlos en el repositorio oficial de GitHub donde se han recopilado.