Aviso sobre amenazas de ciberseguridad:

Aviso sobre amenazas de ciberseguridad:

EDR KillShifter en Aumento.

Se ha observado que un grupo de ciberdelincuentes asociado con el Ransomware de RansomHub utiliza una herramienta recientemente desarrollada nombra como “EDRKillShifter” para desactivar el software de detección y respuesta de endpoints (EDR) en los sistemas comprometidos. Esta herramienta es la ultima de una lista cada vez mayor de utilidades de eliminación de EDR utilizadas por los atacantes para facilitar sus actividades maliciosas.

¿Cuál es la amenaza?

EDRKillShifter es un sofisticado Malware diseñado para desactivar los sistemas EDR. Una vez desactivado, los atacantes pueden llevar a cabo actividades maliciosas, como lanzar ataques de Ransomware sin ser detectados. La amenaza opera mediante un método conocido como “Bring Your Own Vulnerable Driver” (BYOVD), en el que los atacantes explotan controladores legítimos con vulnerabilidades conocidas para aumentar los privilegios y desactivar las protecciones de seguridad.

El ataque comienza cuando los atacantes ejecutan una contraseña de línea de comandos especifica en un sistema comprometido. Esta contraseña descifra un recurso integrado conocido como BIN, que luego se ejecuta en la memoria. El recurso BIN, que luego se ejecuta en la memoria. El recurso BIN descifrado descomprime y realiza una carga útil final escrita en el lenguaje de programación Go. Esta carga útil está diseñada específicamente para explotar un controlador vulnerable que esta incluido dentro del propio Malware. El controlador se utiliza para obtener privilegios elevados en el sistema, lo que permite al Malware deshabilitar o eludir los procesos EDR.

Una vez cargado el controlador, EDRKillShifter utiliza un código que se modifica automáticamente para bloquear sus instrucciones durante el tiempo de ejecución, lo que dificulta su análisis o detección. A continuación, el Malware entra en un bucle sin fin, escaneado y terminando continuamente los procesos asociados con el software EDR en función de una lista de objetivos codificada. La combinación de técnicas BYOVD y código que se modifica automáticamente convierte a EDRKillShifter en una herramienta muy eficaz para evadir la detección y desactivar las medidas de seguridad.

¿Por qué es de relevancia?

La introducción de EDRKillShifter pone de relieve la continua evolución y sofisticación de los grupos de Ransomware. Al desactivar los sistemas EDR, los atacantes pueden aumentar significativamente la probabilidad de una implemenetacion exitosa de Ransomware, lo que puede tener consecuencias devastadoras para las organizaciones atacadas. Además, el uso de controladores legítimos por parte de la herramienta para eludir las medidas de seguridad ejemplifica la creciente tendencia de los atacantes a aprovechar las vulnerabilidades de software existentes, lo que dificulta que los equipos de seguridad se defiendan de tales amenazas.

¿Cuál es el riesgo?

Las organizaciones que dependen de soluciones EDR enfrentan un riesgo significativo si los atacantes usan esta herramienta en su contra. Una vez que la desactivan, los atacantes pueden operar con poca o ninguna detección. Esto puede generar resultados potencialmente catastróficos, como cifrado de datos, robo y extorsión. La capacidad de la herramienta para explotar una variedad de factores aumenta el riesgo, lo que hace que una amplia gama de sistemas sea vulnerable a los ataques.

Recomendaciones

Se recomienda encarecidamente a las organizaciones que tomen estas medidas adicionales para proteger sus equipos contra el uso indebido de los controladores:

  • Habilite las funciones de protección contra manipulaciones en todas las soluciones EDR para evitar modificaciones no autorizadas o la desactivación de herramientas de seguridad.
  • Limite los privilegios administrativos en toda la organización para reducir el riesgo de que los atacantes aumenten sus privilegios a través de cuentas comprometidas.
  • Actualice todo el software, incluidos los controladores, para reparar las vulnerabilidades conocidas como herramientas EDRKillShifter podrían explotar.

XDR

Barracuda XDR ofrece un servicio de seguridad de Endpoints administrado integral que esta bien equipado para contrarrestar amenazas como EDRKillShifter. Al adquirir este servicio, las organizaciones pueden beneficiarse de una protección solida de Endpoints que incluye funciones anti-manipulación de forma predeterminada. Esta característica fundamental garantiza que incluso las amenazas avanzadas tengan dificultades para desactivar las defensas de seguridad sin ser detectadas.

Además, el servicio de XDR puede activar alertas si alguien desactiva la función de anti-manipulación a nivel de política. Esto agrega una capa adicional de seguridad y aborda cualquier intento de socavar la protección de endpoints de inmediato. Las nuevas versiones de la herramienta EDR evitan problemas de interoperabilidad antes de la implementación, asegurándose de este modo que los clientes reciban las soluciones más confiables manteniéndolos protegidos en todo momento.

Este enfoque proactivo, combinado con un monitoreo continuo y un soporte experto hace que la herramienta XDR sea un socion invaluable en la defensa contra amenazas sofisticadas como las que plantea EDRKillShifter.

Acércate a nosotros para brindarte más información de nuestro programa de canales:  

JR

Regresar al blog