Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias RansomHub lanza herramienta para neutralizar EDR en recientes ciberataques

RansomHub lanza herramienta para neutralizar EDR en recientes ciberataques

por Dragora

Un grupo de ciberdelincuentes asociado con el ransomware RansomHub ha lanzado una nueva herramienta diseñada para desactivar el software de detección y respuesta de endpoints (EDR) en sistemas comprometidos, similar a otras herramientas como AuKill (también conocido como AvNeutralizer) y Terminator.

La empresa de ciberseguridad Sophos ha nombrado a esta herramienta como EDRKillShifter, descubierta en relación con un intento fallido de ataque de ransomware en mayo de 2024. Según el investigador de seguridad Andreas Klopsch, «EDRKillShifter es un ejecutable ‘cargador’ que entrega un controlador legítimo vulnerable, también conocido como herramienta BYOVD (Bring Your Own Vulnerable Driver). Dependiendo de las necesidades del atacante, puede desplegar diversas cargas útiles de controladores vulnerables».

RansomHub, que se cree es un nuevo nombre para el ransomware Knight, surgió en febrero de 2024, aprovechando fallos de seguridad conocidos para obtener acceso inicial y eliminar software legítimo de escritorio remoto como Atera y Splashtop para asegurar un acceso persistente.

En julio de 2024, Microsoft informó que el sindicato de ciberdelincuencia Scatter Spider ha incorporado variantes de ransomware como RansomHub y Qilin en su arsenal.

El ejecutable de EDRKillShifter se ejecuta a través de la línea de comandos con una cadena de contraseña, descifra un recurso incrustado llamado BIN y lo carga en la memoria. Este recurso descomprime y ejecuta una carga útil final ofuscada en Go, que aprovecha diferentes controladores legítimos y vulnerables para elevar privilegios y deshabilitar el software EDR.

«La herramienta parece haber sido compilada en un entorno con configuración en ruso», añadió Klopsch. «Todos los asesinos de EDR identificados incrustan un controlador vulnerable en la sección .data».

Herramienta EDR-Killing

Recomendaciones de Seguridad:

  • Mantener los sistemas actualizados.
  • Habilitar la protección contra manipulaciones en el software EDR.
  • Practicar una estricta higiene en los roles de seguridad de Windows.

«Este ataque solo es posible si el atacante logra elevar sus privilegios o si obtiene derechos de administrador», explicó Klopsch. «La separación entre privilegios de usuario y administrador puede dificultar la carga de controladores maliciosos».

La sofisticación de la herramienta EDRKillShifter subraya la evolución constante de las tácticas empleadas por los grupos de ciberdelincuentes. A medida que las organizaciones refuerzan sus defensas, los atacantes también ajustan sus métodos, haciendo hincapié en la necesidad de mantenerse al día con las mejores prácticas de ciberseguridad.

Impacto de EDRKillShifter en la Seguridad de Empresas

La capacidad de EDRKillShifter para neutralizar soluciones EDR representa una amenaza significativa para las empresas, especialmente aquellas que dependen de estos sistemas para detectar y mitigar ataques en tiempo real. La herramienta no solo explota vulnerabilidades en controladores legítimos, sino que también se integra con facilidad en operaciones de ataque más amplias, como el despliegue de ransomware.

Estrategias de Mitigación:

  1. Actualización Continua de Software: Mantener todos los sistemas y controladores actualizados es crucial para cerrar posibles brechas de seguridad que puedan ser explotadas por herramientas como EDRKillShifter.
  2. Monitoreo y Detección Avanzada: Implementar soluciones de seguridad que puedan detectar comportamientos anómalos en el sistema, incluso si los atacantes han desactivado el EDR tradicional.
  3. Formación en Seguridad: Capacitar a los empleados sobre la importancia de la seguridad informática y cómo reconocer signos de intrusión o comportamiento sospechoso en sus equipos.
  4. Segmentación de Red: Aislar partes críticas de la red para limitar el alcance de un posible ataque y evitar que los atacantes escalen privilegios con facilidad.

Perspectivas Futuras

La aparición de herramientas como EDRKillShifter sugiere que las tácticas BYOVD seguirán siendo una estrategia popular entre los ciberdelincuentes. Las empresas deben anticiparse a estos desarrollos adoptando una postura proactiva en su ciberseguridad, invirtiendo en tecnologías emergentes y colaborando con expertos en seguridad para reforzar sus defensas.

Además, el seguimiento de las actividades de grupos como RansomHub y Scatter Spider es esencial para comprender mejor sus métodos y preparar respuestas adecuadas. Las alianzas entre empresas de seguridad y organizaciones gubernamentales también pueden ayudar a contrarrestar estas amenazas de manera más efectiva.

Fuente: The Hacker News 

You may also like

Dejar Comentario

Click to listen highlighted text!