En un preocupante desarrollo, múltiples familias de Ransomware, incluyendo Blacksuit, Medusa, Qilin, DragonForce e INC, están compartiendo y adaptando una herramienta sofisticada diseñada para desactivar soluciones de Detección y Respuesta de Endpoints (EDR) y antivirus. Esto les permite operar sin ser detectados y secuestrar datos con mayor eficacia, según reportaron investigadores de Sophos.
El hallazgo revela que esta herramienta, un tipo de «EDR Killer» o malware diseñado específicamente para desactivar los sistemas EDR, ha dejado obsoletas versiones anteriores utilizadas por los ciberdelincuentes y ahora está disponible también en mercados clandestinos. Desde 2022, Sophos ha monitoreado un aumento en la sofisticación de este tipo de malware, impulsado por la creciente adopción de soluciones de seguridad para endpoints.
Características Peligrosas del EDR Killer
El EDR Killer posee varias características preocupantes:
Capacidad de Ataque Amplia
Esta herramienta puede apuntar a productos de todo el ecosistema de ciberseguridad, incluyendo Sophos, Bitdefender, Microsoft, McAfee y Webroot, entre otros.
Ofuscación Avanzada
El malware es frecuentemente empaquetado con HeartCrypt para evadir la detección.
Certificados Comprometidos
En algunos casos, utiliza controladores maliciosos firmados con certificados robados o caducados.
Intercambio Criminal
La misma herramienta ha sido encontrada en ataques perpetrados por grupos rivales, lo que sugiere colaboración o filtraciones de código entre ellos.
Casos Destacados de Uso del EDR Killer
Entre los casos documentados, destaca el de MedusaLocker, que aprovechó una vulnerabilidad de día cero en la herramienta de soporte remoto SimpleHelp para instalar el EDR Killer y, de forma inmediata, desplegar el Ransomware en los sistemas comprometidos.
De manera similar, RansomHub e INC utilizaron versiones más sofisticadas de esta herramienta, incorporando múltiples capas de empaquetado y cifrado con el fin de evadir las defensas avanzadas y prolongar el tiempo que permanecían indetectados dentro de las redes atacadas.
Implicaciones Preocupantes
Según los expertos de Sophos, la disponibilidad y el uso compartido de este tipo de herramientas incrementa la velocidad y efectividad de los ataques, acortando el tiempo de reacción de las organizaciones. Esto sugiere que el ecosistema del Ransomware es más complicado que una simple serie de grupos que compiten y luchan entre sí, lo que supone un dolor de cabeza más para los defensores.
La creciente sofisticación de estas amenazas y la colaboración entre grupos criminales plantea un desafío significativo para las empresas y organizaciones que buscan proteger sus sistemas y datos.
