Cómo el ransomware Ransomhub utiliza EDRKillShifter para desactivar EDR y la protección antivirus


La cadena de ataques de RansomHub destaca la creciente tendencia de los ataques de ransomware. Los atacantes dependen cada vez más de herramientas sofisticadas como EDRKillShifter para evadir las defensas de seguridad. Esto pone de relieve la necesidad de una estrategia de defensa en profundidad que combine tecnología con visión de futuro e inteligencia proactiva contra amenazas. A medida que los grupos de ransomware adopten tácticas anti-EDR similares, desarrollar resiliencia y adaptar su estrategia de seguridad será fundamental para proteger sus activos digitales.

Para protegerse de la amenaza cambiante de RansomHub, las organizaciones deben adoptar una estrategia de seguridad integral.

Fortalezca sus sistemas de protección de endpoints. Asegúrese de que su solución EDR tenga la última inteligencia sobre amenazas para detectar tecnologías de ransomware nuevas y en evolución. El análisis de comportamiento y el escaneo heurístico pueden ayudar a detectar actividad o comportamiento anómalo que pueda indicar la ejecución de ransomware. Restrinja el acceso a los puntos finales en función de la validación continua y limite el movimiento lateral. Las capacidades de aislamiento y reversión de endpoints también ayudan a mitigar posibles ataques.

Por ejemplo, Apex One de Trend Micro proporciona protección en capas con capacidades avanzadas de detección y respuesta a amenazas que utilizan análisis de comportamiento y aprendizaje automático para detectar y mitigar amenazas. XDR de Trend Micro proporciona visibilidad integral de amenazas y análisis experto en correo electrónico, endpoints, servidores, cargas de trabajo en la nube y redes.

Implemente protección a nivel de controlador y a nivel de kernel. Estos mecanismos de seguridad ayudan a prevenir el acceso no autorizado y la manipulación de los controladores del sistema, una táctica empleada por RansomHub. También existen herramientas y tecnologías que pueden impedir la ejecución de controladores maliciosos o no firmados. Asegúrese de que solo se ejecute código confiable dentro del espacio del kernel, supervise periódicamente la actividad a nivel del kernel para detectar comportamientos sospechosos y asegúrese de que las herramientas de seguridad estén protegidas contra manipulaciones.

Deep Security de Trend Micro incluye monitoreo de integridad que solo permite controladores firmados y verificados y evita que se carguen controladores no autorizados o maliciosos. Deep Security también tiene una función de parcheo virtual que brinda protección instantánea contra vulnerabilidades recién descubiertas en los controladores antes de que se apliquen los parches oficiales.

Fortalecer las credenciales y la seguridad de autenticación. Habilite la autenticación multifactor (MFA) en todos los puntos de acceso, actualice las contraseñas periódicamente y supervise signos de compromiso de credenciales. Limite el acceso según la función para reducir la exposición y audite periódicamente los sistemas de autenticación en busca de vulnerabilidades para evitar el acceso no autorizado.

Por ejemplo, Trend Micro Password Manager exige el uso de contraseñas complejas y seguras y una rotación regular de contraseñas en todos los sistemas, lo que reduce el riesgo de acceso no autorizado a sistemas que requieren privilegios elevados.

Habilite el monitoreo de comportamiento y la detección de anomalías. Estos mecanismos de seguridad analizan continuamente patrones de comportamiento normales y señalan desviaciones que pueden indicar ransomware u otra actividad maliciosa. La detección temprana de anomalías como el cifrado de archivos no autorizado o el movimiento lateral dentro de la red le permite responder rápidamente antes de que se produzcan daños importantes. La supervisión en tiempo real, combinada con alertas y análisis automáticos, mejora enormemente su capacidad para detectar amenazas como RansomHub de forma temprana.

Por ejemplo, Apex One tiene monitoreo de comportamiento que detecta y bloquea actividades maliciosas, como cambios de archivos no autorizados y anomalías en la asignación de memoria. El servicio Managed XDR de Trend Micro mejora la detección de amenazas y anomalías con análisis experto y monitoreo 24 horas al día, 7 días a la semana en correo electrónico, endpoints, servidores, cargas de trabajo en la nube y redes.

Reforzar las configuraciones de seguridad de los endpoints. Aplique estrictos controles de acceso, desactive servicios innecesarios y aplique parches y actualice periódicamente todos los sistemas. Estandarice la configuración de seguridad en todos los dispositivos y audite periódicamente las configuraciones de los terminales para identificar y abordar las debilidades y vulnerabilidades antes de que puedan explotarse.

Deep Security tiene capacidades de control de aplicaciones que permiten solo aplicaciones verificadas y aprobadas y bloquean ejecutables no autorizados. La solución Trend Micro Apex Central aplica el principio de privilegio mínimo al otorgar a las aplicaciones y a los usuarios solo los permisos que necesitan para su funcionalidad.

Inteligencia contra amenazas de Trend Micro Vision One

Para mantenerse a la vanguardia de las amenazas en evolución, los clientes de Trend Micro tienen acceso a una variedad de informes de inteligencia e información sobre amenazas dentro de Trend Micro Vision One. Threat Insights le ayuda a anticiparse a las ciberamenazas y prepararse para las amenazas emergentes antes de que ocurran. Proporciona información completa sobre los actores de amenazas, sus actividades maliciosas y las técnicas que utilizan. Al aprovechar esta inteligencia, los clientes pueden tomar medidas proactivas para proteger sus entornos, reducir riesgos y responder eficazmente a las amenazas.

Aplicación Trend Micro Vision One Intelligence Report (barrido del COI)

Los ataques a centros de rescate van en aumento: se revelan nuevas tácticas anti-EDR, conectividad de infraestructura AMADEY

Aplicación Trend Micro Vision One Threat Insights

Actor de amenaza: Mizu Bakunawa

Amenazas emergentes: RansomHub en aumento: nuevas tácticas de contramedida EDR reveladas y conexiones de infraestructura AMADEY

consulta de caza

Aplicación de búsqueda Trend Micro Vision One

Los clientes de Trend Micro Vision Once pueden usar la aplicación de búsqueda para hacer coincidir o buscar los indicadores maliciosos descritos en esta publicación de blog con datos de su entorno.

Detección de EDRKILLSHIFT

malName:(“*EDRKILLSHIFT*”) y eventName:MALWARE_DETECTION

Los clientes de Vision One con el derecho Threat Insights habilitado tienen acceso a aún más consultas de búsqueda.

Indicadores de compromiso (IoC):


https://www.trendmicro.com/en_us/research/24/i/how-ransomhub-ransomware-uses-edrkillshifter-to-disable-edr-and-.html