En un preocupante desarrollo, múltiples grupos de ciberdelincuentes que operan diferentes variantes de Ransomware, incluyendo Blacksuit, Medusa, Qilin, DragonForce e INC, están colaborando para compartir y adaptar una herramienta avanzada diseñada específicamente para desactivar soluciones de Detección y Respuesta de Endpoints (EDR) y antivirus. Según investigadores de Sophos, esta herramienta, conocida como un «EDR Killer», permite a los atacantes operar sin ser detectados y secuestrar datos con mayor efectividad.
El hallazgo revela que esta amenaza ha dejado obsoletas versiones anteriores utilizadas por los ciberdelincuentes y ahora está ampliamente disponible en mercados clandestinos. Desde 2022, Sophos ha monitoreado un aumento en la sofisticación de este tipo de malware, impulsado por la creciente adopción de soluciones de seguridad para endpoints por parte de las organizaciones.
Características Peligrosas del «EDR Killer»
El malware en cuestión posee varias características preocupantes:
Capacidad de Ataque Amplia
El «EDR Killer» puede apuntar a productos de todo el ecosistema de ciberseguridad, incluyendo soluciones de Sophos, Bitdefender, Microsoft, McAfee y Webroot, entre otros.
Ofuscación Avanzada
El malware es frecuentemente empaquetado con HeartCrypt para evadir la detección por parte de los sistemas de seguridad.
Certificados Comprometidos
En algunos casos, el malware utiliza controladores firmados con certificados robados o caducados, lo que le permite pasar desapercibido.
Intercambio Criminal
Esta misma herramienta ha sido encontrada en ataques perpetrados por grupos rivales, lo que sugiere una colaboración o filtraciones de código entre los ciberdelincuentes.
Casos Destacados de Uso del «EDR Killer»
Algunos casos documentados incluyen:
MedusaLocker
Este grupo aprovechó una vulnerabilidad de día cero en la herramienta de soporte remoto SimpleHelp para instalar el «EDR Killer» y, de forma inmediata, desplegar el Ransomware en los sistemas comprometidos.
RansomHub e INC
Estos grupos utilizaron versiones más sofisticadas del «EDR Killer», incorporando múltiples capas de empaquetado y cifrado para evadir las defensas avanzadas y prolongar el tiempo que permanecían indetectados dentro de las redes atacadas.
Implicaciones Preocupantes
Según los expertos de Sophos, la disponibilidad y el uso compartido de este tipo de herramientas incrementa la velocidad y efectividad de los ataques, acortando el tiempo de reacción de las organizaciones. Esto sugiere que el ecosistema del Ransomware es más complicado de lo que parece, con una creciente colaboración entre grupos que supone un dolor de cabeza aún mayor para los defensores de la ciberseguridad.
Las organizaciones deben estar alerta y reforzar sus medidas de seguridad para hacer frente a esta amenaza en constante evolución.