Recientemente, ha surgido un nuevo desafío en el horizonte de la seguridad informática: el grupo de cibercriminales conocido como RansomHub. Este grupo, ya conocido por sus ataques de ransomware, ha desarrollado una herramienta especialmente diseñada para desactivar las soluciones de detección y respuesta de endpoints (EDR), una línea de defensa crucial para las empresas. La capacidad de RansomHub para neutralizar estas herramientas no solo les permite evadir la detección, sino que también facilita la ejecución de ataques más devastadores, lo que subraya la necesidad de repensar las estrategias de seguridad cibernética.
Antes de profundizar en las tácticas de RansomHub, es importante entender qué son las soluciones EDR. Las herramientas de detección y respuesta de endpoints (EDR) son sistemas de seguridad diseñados para monitorear, detectar y responder a actividades maliciosas en los dispositivos finales de una red. Esto incluye computadoras, servidores y otros dispositivos conectados a la red corporativa.
Las soluciones EDR son una pieza clave en la defensa cibernética moderna, ya que ofrecen una visión detallada de las actividades sospechosas, permitiendo a los equipos de seguridad responder rápidamente a las amenazas. Sin embargo, estas herramientas no son infalibles, y los cibercriminales, como el grupo RansomHub, están desarrollando nuevas técnicas para evadirlas.
Conoce más sobre: Acronis Advanced Security + EDR Ganador de Premio de Ciberseguridad
Se ha detectado que un grupo de cibercriminales vinculado al ransomware RansomHub ha comenzado a utilizar una nueva herramienta diseñada para desactivar el software de detección y respuesta de endpoints (EDR) en sistemas comprometidos, uniéndose a otros programas similares como AuKill (también conocido como AvNeutralizer) y Terminator.
Esta nueva herramienta, denominada EDRKillShifter, fue descubierta durante la investigación de un ataque de ransomware fallido en mayo de 2024. EDRKillShifter actúa como un ejecutable "cargador", que entrega un controlador legítimo pero vulnerable a abusos, en lo que se conoce como la técnica de "traer su propio controlador vulnerable" (BYOVD). Según un investigador de seguridad, "dependiendo de las necesidades del actor de la amenaza, la herramienta puede desplegar una variedad de cargas útiles de controladores diferentes".
RansomHub, una supuesta nueva variante del ransomware Knight, emergió en febrero de 2024, utilizando vulnerabilidades de seguridad conocidas para obtener acceso inicial y eliminar software legítimo de escritorio remoto, como Atera y Splashtop, con el objetivo de mantener un acceso persistente. Recientemente, se reveló que un conocido grupo de cibercriminales, identificado como Scattered Spider, ha integrado cepas de ransomware como RansomHub y Qilin en su repertorio de herramientas maliciosas.
El archivo ejecutable en cuestión se ejecuta desde la línea de comandos junto con una cadena de contraseña, lo que le permite descifrar un recurso integrado llamado BIN y ejecutarlo directamente en la memoria. Este recurso BIN descomprime y activa una carga útil final ofuscada, desarrollada en Go, que explota varios controladores legítimos pero vulnerables para obtener privilegios elevados y desactivar el software EDR.
Según los análisis, el binario parece estar configurado en un equipo con ajustes de localización en ruso, lo que sugiere que su autor podría ser de habla rusa. Todos los módulos descomprimidos que desactivan EDR incorporan un controlador vulnerable en la sección .data.
Para reducir el riesgo, se aconseja mantener los sistemas actualizados, activar la protección contra manipulaciones en el software EDR y aplicar prácticas rigurosas de seguridad para la gestión de roles en Windows.
Podría interesarte leer: ¿Cómo puede un SOC detectar y prevenir ataques cibernéticos?
Las herramientas anti-EDR han demostrado ser altamente eficaces en ciberataques, y su creciente uso entre los actores maliciosos es una clara evidencia de ello. Al deshabilitar las soluciones de seguridad, estas herramientas permiten a los atacantes realizar acciones posteriores sin obstáculos. EDRKillShifter, en particular, es difícil de detectar debido a las técnicas de ofuscación y la estrategia de "traer su propio controlador vulnerable" (BYOVD) que emplea.
Los investigadores también han señalado que la lista de soluciones EDR que este kit de herramientas puede desactivar es fácilmente ampliable. Dado que la lista está codificada, los hackers pueden agregar o sustituir objetivos con gran facilidad.
Aunque EDRKillShifter no es la carga útil final, es crucial para su implementación. Los analistas de seguridad coinciden en que estos vectores de ataque seguirán evolucionando, con más trucos y capacidades en el futuro. Afortunadamente, aunque la técnica BYOVD no es nueva, los proveedores de seguridad ya han desarrollado métodos para detectar y mitigar su abuso.
Conoce más sobre: Nueva Solución Acronis Advanced Security + XDR
RansomHub representa una amenaza significativa debido a su capacidad para desactivar soluciones EDR y lanzar ataques devastadores de ransomware. A medida que este grupo continúa evolucionando sus tácticas, es imperativo que las organizaciones adopten un enfoque proactivo en su defensa, implementando múltiples capas de seguridad y preparándose para responder rápidamente a cualquier intento de intrusión.
La clave para mitigar el riesgo de un ataque exitoso radica en la combinación de tecnología avanzada, procesos robustos y una cultura de ciberseguridad bien instaurada dentro de la organización. ¿Estás preocupado por estas amenazas? Con el SOC as a Service de TecnetOne, tienes a tu disposición la protección más avanzada: XDR, XTI (Extended Threat Intelligence), monitoreo continuo de la dark web y deep web, UEM (Unified Endpoint Management), y IDS/IPS (Intrusion Detection and Prevention Systems) y más. Nuestro equipo de expertos trabaja 24/7 para identificar, mitigar y neutralizar amenazas antes de que afecten tu negocio.