El grupo de ransomware RansomHub ha presentado un nuevo malware desarrollado y diseñado para desactivar el software de seguridad Endpoint Detection and Response (EDR) a través de ataques Bring Your Own Vulnerable Driver (BYOVD). Nuevo malware desarrollado Identificado como «EDRKillShifter» por investigadores de seguridad durante una investigación de ransomware en mayo de 2024, este malware aprovecha un controlador legítimo pero vulnerable en dispositivos específicos para aumentar los privilegios, desactivar las soluciones de seguridad y tomar el control del sistema. Esta táctica, popular entre varios actores de amenazas, incluidos grupos de ransomware con motivaciones económicas y piratas informáticos patrocinados por el estado, representa una amenaza importante para la seguridad empresarial. ¿Qué sucedió en el ciberataque? Durante el incidente de mayo, los atacantes intentaron usar EDRKillShifter para desactivar la protección de Sophos en una máquina comprometida. Aunque la herramienta falló, el investigador de amenazas de Sophos, Andreas Klopsch, señaló que los atacantes intentaron ejecutar la carga útil del ransomware, que también fue frustrada por la función CryptoGuard del agente de endpoint. La investigación de Sophos reveló dos muestras distintas del malware, ambas explotando vulnerabilidades conocidas en los controladores. Una muestra apuntaba a un controlador conocido como RentDrv2, mientras que la otra explotaba ThreatFireMonitor, un componente desactualizado de la herramienta de monitoreo del sistema. Estas explotaciones se basaron en código de prueba de concepto disponible en GitHub. EDRKillShifter puede implementar varias cargas útiles de controlador según los objetivos de los atacantes. El análisis sugiere que el malware se compiló en un sistema con localización rusa, lo que indica posibles orígenes. ¿Cómo ejecutaron los cibercriminales el ciberataque? La ejecución de EDRKillShifter implica un proceso de tres pasos: el atacante lanza el binario EDRKillShifter con una contraseña para descifrar y ejecutar un recurso incrustado llamado BIN en la memoria. Luego, este código descomprime y ejecuta la carga útil final, que implementa y explota un controlador vulnerable. El controlador se utiliza para escalar privilegios y desactivar los procesos y servicios EDR activos. Una vez que el malware crea e inicia un nuevo servicio para el controlador, entra en un bucle continuo, enumerando los procesos en ejecución y terminando cualquiera que coincida con una lista codificada de objetivos. Klopsch también destacó que ambas variantes de EDRKillShifter explotan controladores legítimos, aunque vulnerables, utilizando exploits de prueba de concepto modificados publicados inicialmente en GitHub y portados al lenguaje de programación Go. Recomendaciones para proteger su organización de este tipo de ciberataque Se recomienda que se implementen varias estrategias de mitigación para protegerse contra tales ataques, que puede llevar a cabo su proveedor de seguridad cibernética, y a menudo llevarán a cabo este proceso de todos modos: Habilite la protección contra manipulaciones en los productos de seguridad de endpoints. Mantenga una separación estricta entre los privilegios de usuario y administrativos para evitar que los atacantes carguen controladores vulnerables. Mantenga los sistemas actualizados, ya que Microsoft descertifica regularmente los controladores firmados que se sabe que han sido mal utilizados en ataques anteriores. Esta no es la primera vez que se detecta malware que mata EDR. El año pasado, Sophos identificó «AuKill», una herramienta similar que explotó un controlador vulnerable de Process Explorer en ataques de ransomware asociados con Medusa Locker y LockBit. AuKill comparte similitudes con una herramienta de código abierto llamada Backstab, que también se ha vinculado a las operaciones de LockBit.