EDR Nel mirino: i forum underground mettono in vendita NtKiller

All’interno di un forum underground chiuso, frequentato da operatori malware e broker di accesso iniziale, è comparso un annuncio che ha attirato l’attenzione della comunità di cyber threat intelligence. Il post promuove “NtKiller”, una presunta utility “kernel-level” progettata per disattivare in modo silente antivirus, EDR, con riferimenti espliciti a rootkit, persistenza avanzata e bypass UAC zero-day.

Il prezzo dichiarato è di 500 dollari, con contatti diretti via Telegram e una lista di soluzioni di sicurezza “supportate” che include nomi di primo piano: Windows Defender, ESET, Kaspersky, Bitdefender, Malwarebytes e altri.

Una proposta che, se autentica, si colloca nella fascia alta del cybercrime-as-a-service.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

Cosa sono gli EDR

Gli EDR (Endpoint Detection and Response) sono soluzioni di sicurezza avanzata progettate per andare oltre il tradizionale antivirus. Il loro compito non è solo bloccare file malevoli, ma monitorare costantemente il comportamento del sistema.

In sintesi, un EDR:

• raccoglie telemetria continua dagli endpoint;
• analizza processi, chiamate di sistema, driver e memoria;
• correla eventi sospetti nel tempo;
• consente risposta attiva, come l’isolamento del sistema o la terminazione di processi.

A differenza degli AV classici, molti EDR operano a livello kernel, rendendo più difficile la loro disattivazione da parte di codice malevolo eseguito in user-mode.

Perché gli EDR sono un obiettivo primario

Nel cybercrime moderno, soprattutto nel contesto ransomware e intrusioni mirate, la prima fase dopo l’accesso iniziale è quasi sempre la neutralizzazione delle difese. Un EDR attivo:

• registra le azioni dell’attaccante;
• può generare alert in tempo reale;
• può interrompere la catena di attacco prima della fase finale.

Per questo motivo, la capacità di “accecamento” o disattivazione silente degli EDR è diventata un valore di mercato nei forum underground.

Come vengono aggirati gli EDR (livello concettuale)

I post come quello su NtKiller fanno riferimento a tecniche note a livello teorico, già osservate in campagne APT e ransomware avanzate. Non si tratta di exploit “magici”, ma di abusi profondi dell’architettura del sistema operativo.

Tra le macro-categorie di bypass comunemente discusse nei circuiti underground:

1. Abuso del livello kernel
   Portare codice malevolo allo stesso livello di privilegio dell’EDR riduce drasticamente la capacità di difesa. A questo livello, i controlli diventano una “lotta tra pari”.
2. Manipolazione dei driver
   L’uso (o abuso) di driver vulnerabili firmati è una tecnica storicamente osservata per ottenere operazioni privilegiate senza exploit diretti del kernel.
3. Disattivazione indiretta
   Invece di “uccidere” l’EDR, alcuni malware puntano a:
   • degradarne la visibilità;
   • interferire con la telemetria;
   • bloccare componenti di logging o comunicazione.
4. Persistenza invisibile
   Rootkit e meccanismi di avvio precoce permettono al malware di caricarsi prima delle soluzioni di sicurezza.
5. Bypass dei controlli di elevazione
   I riferimenti a UAC bypass indicano tecniche per ottenere privilegi elevati senza allertare l’utente, spesso sfruttando fiducia implicita in componenti di sistema.

Marketing underground e realtà operativa

Va sottolineato che non tutti gli annunci nei forum underground corrispondono a strumenti realmente efficaci. Molti sono:

• rebranding di tool già noti;
• proof-of-concept venduti come “weapon-grade”;
• vere e proprie truffe interne al mondo criminale.

Post come questo confermano che:

• gli EDR restano centrali nella difesa;
• il kernel è diventato un campo di battaglia;
• la sicurezza endpoint deve essere affiancata da monitoraggio comportamentale, hardening del driver model e threat hunting proattivo.

Per i difensori, osservare questi forum non significa “imparare ad attaccare”, ma capire come ragiona l’avversario, quali promesse vengono vendute e quali capacità sono considerate “di valore” nel sottobosco cybercriminale.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli