Un presunto EDR Killer venduto in forum cybercriminali per oltre 3.000 dollari è finito al centro di accuse di truffa tra hacker. Il tool, presentato come capace di disattivare sistemi di sicurezza avanzati, sarebbe in realtà basato su tecniche BYOVD e codice pubblico già noto. Il caso evidenzia la crescente difficoltà nel bypassare gli EDR e il rischio di frodi interne nei mercati underground, dove la fiducia è minima e le verifiche avvengono tra criminali stessi.
Nel sottobosco della sicurezza informatica, dove i malware e gli exploit vengono venduti dai criminali come prodotti commerciali, non è raro imbattersi in scontri pubblici tra gli stessi attori della scena.
Un recente post in un forum sotto monitoraggio dal gruppo DarkLab, mostra una discussione su un MaaS. Si tratta di, un “EDR/XDR Killer”, che viene venduto con la promessa di disattivare soluzioni di sicurezza quali SentinelOne, Sophos EDR, Bitdefender e Microsoft Defender for Endpoint.
L’annuncio è stato pubblicato dall’account “black-codes”, il quale non è per nulla sconosciuto sul forum XSS. Questo threat actors propone questo tool a un prezzo di circa 3.000 dollari, corredato con diversi video dimostrativi.
Advertising
Ma qua arriva la parte interessante. Quello che inizialmente sembrava essere una normale trattativa si è trasformata in un’arena di disputa ed insulti. Gli utenti hanno messo in dubbio l’autenticità dello strumento, e hanno sostenuto che si tratta di un driver vulnerabile già noto, associato a tecniche BYOVD.
Un partecipante infatti, identifica il riferimento al file “wsftprm.sys”, un driver ben documentato in contesti di sicurezza informatica. Il presunto “killer” non è altro che un riutilizzo di codice esistente, sfruttato per elevare i privilegi e terminare i processi degli AV/EDR.
Il venditore respinge le accuse, e sostiene che i driver pubblici sono inefficaci perché inseriti nelle blacklist nelle soluzioni EDR e che il suo strumento utilizza tecniche più evolute. La discussione poi degenera quando altri membri della community si accodano e accusano i “codici neri” di vendere codice pubblico a prezzo gonfiato.
Un utente definisce la compravendita “una truffa da 3.000 dollari”, spiegando quanto sia semplice, per chi ha competenze, assemblare un codice di questo tipo che viene proposto come MaaS. Il venditore, rilancia affermando che il suo tool non si limita a chiudere i processi, ma “disattiva gli EDR” e include servizi e componenti molto più profondi nel sistema.
Ma questa non è altro che una delle dinamiche dei mercati underground. Anche i moderatori intervengono e ipotizzano delle sanzioni per la vendita di materiale non originale. Questo è il segno che persino nei contesti illegali esistono delle regole e reputazioni da difendere.
Advertising
Al di là della disputa specifica, il caso ha un aspetto cruciale. Gli EDR si sono migliorati nel tempo assieme alle infrastrutture che li ospitano e i bypass sono sempre più difficili. Questo aumenta il valore di queste tecniche avanzate nel mercato nero. Ma allo stesso tempo amplifica anche le frodi, soprattutto per chi non è del mestiere, anche se i primi a smascherare un venditore sono gli stessi criminali informatici.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza:Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.