Red Hot Cyber

La ciberseguridad se comparte. Reconozca el riesgo, combátalo, comparta sus experiencias y anime a otros a hacerlo mejor que usted.
Buscar

¡Los EDR siguen desconectados! Las amenazas aumentan con la aparición de EDRKillShifter.

Redazione RHC : 10 agosto 2025 09:18

Ha surgido una nueva herramienta para desactivar sistemas EDR en la comunidad cibercriminal. Los expertos de Sophos creen que es una extensión de la utilidad EDRKillShifter. Su uso ya se ha registrado en ataques de ocho grupos diferentes, entre ellos RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx e INC.

Estos programas permiten al ransomware deshabilitar las soluciones de seguridad en los dispositivos comprometidos para distribuir la carga útil, escalar privilegios, moverse por la red y, finalmente, cifrar los datos sin riesgo de detección.

El nuevo EDR Killer es un binario altamente ofuscado que se decodifica a sí mismo durante la ejecución y se inyecta en procesos legítimos. El siguiente paso es buscar un controlador firmado digitalmente con un certificado robado o caducado y un nombre aleatorio de cinco caracteres, codificado en el archivo ejecutable. Si se encuentra dicho controlador, se carga en el kernel, lo que permite implementar la técnica «Traiga su propio controlador vulnerable» (BYOVD) y obtener los privilegios de sistema necesarios para deshabilitar los productos de seguridad.

Disfrazado de componentes legítimos, como el controlador CrowdStrike Falcon Sensor, el controlador malicioso finaliza los procesos antivirus y EDR, y bloquea los servicios relacionados. Las soluciones de Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro y Webroot se ven afectadas. Las distintas versiones de la herramienta difieren en los nombres de los controladores, las listas de productos de destino y las características de compilación, pero en todos los casos se utiliza el empaquetador HeartCrypt. Según Sophos, no se trata de un único binario filtrado, sino de una plataforma desarrollada conjuntamente y utilizada por grupos rivales, cada uno con su propia versión.

La práctica habitual de compartir este tipo de herramientas en la comunidad del ransomware es bien conocida. Además de EDRKillShifter, Sophos ha descubierto previamente otras utilidades de este tipo, como AuKill, utilizada por Medusa Locker y LockBit. SentinelOne también informó el año pasado que el grupo FIN7 vendió su herramienta AvNeutralizer a varias bandas, entre ellas BlackBasta, AvosLocker, MedusaLocker, BlackCat, Trigona y LockBit. La lista completa de indicadores de compromiso del nuevo EDR killer está disponible en el repositorio abierto de GitHub.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli

Artículos destacados

¡Google Drive se defiende del ransomware! La IA bloquea los ataques.
Di Redazione RHC - 02/10/2025

Google ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...

Phantom Taurus: el grupo de hackers chinos que espía a gobiernos y embajadas
Di Redazione RHC - 02/10/2025

Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...

Descubriendo la inyección rápida: cuando la IA se deja engañar por las palabras
Di Manuel Roccon - 02/10/2025

Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...

¡De usuario a root en un segundo! CISA advierte: millones de sistemas operativos en riesgo. ¡Parche!
Di Redazione RHC - 30/09/2025

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...

¡EE. UU. quiere hackear Telegram! El caso genera debate sobre privacidad y jurisdicción.
Di Redazione RHC - 29/09/2025

El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...