En los últimos años, los ‘EDR killers’ se han consolidado como herramientas clave en las intrusiones de ransomware modernas. Los atacantes adquieren privilegios altos, despliegan estas herramientas para interrumpir la protección del sistema y luego lanzan el cifrador. Además de la técnica predominante conocida como Bring Your Own Vulnerable Driver (BYOVD), también se observa un uso frecuente de utilidades legítimas anti-rootkit y enfoques sin drivers para bloquear las comunicaciones del software de detección y respuesta en los endpoints (EDR) o suspenderlo. Estos ‘EDR killers’ no solo son abundantes, sino que también muestran un comportamiento predecible, lo que los convierte en una opción atractiva para los afiliados.
Un estudio reciente, basado en la telemetría de ESET y en investigaciones de incidentes, analizó y rastreó cerca de 90 ‘EDR killers’ que se utilizan activamente. El enfoque va más allá de los drivers vulnerables que dominan muchas discusiones, documentando cómo los afiliados seleccionan, adaptan y operan estas herramientas durante intrusiones reales y qué implicaciones tiene ello para la atribución y la defensa.
Este análisis revela que los ‘EDR killers’ son fundamentales en las intrusiones de ransomware modernas, proporcionando a los afiliados un breve y fiable espaciado para ejecutar los cifradores. Los afiliados, y no los operadores, son quienes eligen los ‘EDR killers’, lo que genera una mayor diversidad en las herramientas debido a la amplia variedad de afiliados activos.
Los resultados también indican que el análisis centrado en drivers tiende a llevar a conclusiones erróneas sobre la atribución de grupos. Existe una creciente tendencia hacia la interrupción sin drivers, junto a kits comercializados y endurecidos, complicando aún más
la defensa. El uso de ‘EDR killers’ es una parte escalable de las operaciones de ransomware, y los atacantes prefieren herramientas que proporcionan un acceso confiable sin necesidad de cargas constantes.
Un enfoque proactivo en la defensa es esencial, dado que los ‘EDR killers’ suelen depender de drivers legítimos pero vulnerables. La estrategia debe ir más allá del simple bloqueo de estas herramientas para prevenir que se carguen y afectar las operaciones empresariales críticas. A medida que los atacantes continúan adaptando sus técnicas, la preparación y la reacción rápida son cruciales para reducir el impacto de tales intrusiones.
Fuente: WeLiveSecurity by eSet.
