El panorama de la ciberseguridad cambia constantemente y los atacantes desarrollan constantemente nuevas formas de eludir las medidas de seguridad y explotar vulnerabilidades. Los incidentes recientes que involucran sofisticadas utilidades diseñadas para desactivar las herramientas de detección y respuesta de endpoints (EDR) ponen de relieve la carrera armamentista en curso entre ciberdelincuentes y defensores.
Este artículo detalla la naturaleza de esta nueva amenaza llamada 'EDRKillShifter' y proporciona orientación sobre cómo las organizaciones pueden protegerse de ataques similares.
EDRKillShifter y RansomHub
Sophos descubrió recientemente una nueva herramienta llamada 'EDRKillShifter' durante un análisis post mortem de un intento de ataque de ransomware. Esta herramienta fue introducida por un grupo criminal desconocido con el objetivo de infectar organizaciones con el ransomware RansomHub. Aunque el ataque finalmente fracasó, el descubrimiento de EDRKillShifter causó gran preocupación dentro de la comunidad de ciberseguridad.
Según el investigador de amenazas de Sophos, Andreas Klopsch, EDRKillShifter está diseñado para desactivar el software de protección de endpoints. El software de protección de endpoints es un importante mecanismo de defensa que las organizaciones utilizan para detectar y responder a actividades maliciosas en sus redes. Deshabilitar estas defensas permite a los atacantes moverse más libremente dentro de un sistema comprometido, lo que aumenta las posibilidades de que un ataque de ransomware tenga éxito. En este caso, el atacante intentó utilizar EDRKillShifter para desactivar la protección de Sophos en la máquina objetivo, pero la herramienta falló. Sin embargo, este incidente pone de relieve una tendencia creciente en la que los ciberdelincuentes se centran cada vez más en desarrollar herramientas que puedan desactivar los sistemas EDR.
El auge de las herramientas de eliminación de EDR
La aparición de EDRKillShifter es parte de una tendencia más amplia en la que el malware diseñado para desactivar los sistemas EDR se está volviendo más sofisticado. Desde 2022, los investigadores de seguridad han observado un aumento significativo en el desarrollo y la implementación de este tipo de herramientas. Por ejemplo, Sophos había identificado previamente otra herramienta asesina de EDR llamada “AuKill” que se vendía en el mercado criminal. El hecho de que actualmente estén en circulación múltiples herramientas con funcionalidad similar sugiere que los ciberdelincuentes reconocen la importancia de desactivar los sistemas EDR para lograr sus objetivos.
Los sistemas EDR son la piedra angular de las estrategias modernas de ciberseguridad. Proporciona capacidades de monitoreo, detección y respuesta en tiempo real esenciales para proteger contra amenazas avanzadas. Al desarrollar herramientas como EDRKillShifter y AuKill, los atacantes pretenden socavar estas defensas y facilitar la implementación de ransomware, robar datos confidenciales e interrumpir las operaciones comerciales.
Cómo protegerse de las herramientas asesinas EDR
Dada la creciente sofisticación de las herramientas de eliminación de EDR, las organizaciones deben tomar medidas proactivas para proteger sus sistemas. En su análisis, Sophos X-Ops hizo varias recomendaciones para ayudar a empresas e individuos a protegerse de este tipo de amenazas.
1. Habilite la protección contra manipulaciones: una de las formas más efectivas de protegerse contra herramientas como EDRKillShifter es habilitar la protección contra manipulaciones en su producto de seguridad de endpoint. Esta característica evita cambios no autorizados en la configuración de seguridad y dificulta que los atacantes desactiven las defensas. Si está utilizando un producto de Sophos y no ha activado la protección contra manipulaciones, es importante activarla ahora.
2. Implementar fuertes medidas de seguridad de Windows: el éxito de las herramientas de eliminación de EDR a menudo depende de la capacidad del atacante para escalar privilegios u obtener privilegios administrativos en el sistema de destino. Para mitigar este riesgo, las organizaciones deben separar estrictamente los privilegios de usuario y administrador. Al limitar la cantidad de usuarios con acceso administrativo, puede reducir la probabilidad de que un atacante obtenga los privilegios necesarios para desactivar su sistema EDR.
3. Mantenga su sistema actualizado: Microsoft está trabajando activamente para abordar las vulnerabilidades relacionadas con la explotación de controladores. Desde 2023, la empresa ha publicado actualizaciones para descertificar los controladores firmados que se sabe que han sido explotados por atacantes. Mantener sus sistemas actualizados garantiza que se beneficiará de estas mejoras de seguridad y dificulta que los atacantes aprovechen las vulnerabilidades conocidas.
https://packetstormsecurity.com/news/view/36261/EDR-Killer-Ransomware-What-It-Is-How-To-Repel.html
