EDR Nel mirino: i forum underground mettono in vendita NtKiller

All’interno di un forum underground chiuso, frequentato da operatori malware e broker di accesso iniziale, è comparso un annuncio che ha attirato l’attenzione della comunità di cyber threat intelligence. Il post promuove “NtKiller”, una presunta utility “kernel-level” progettata per disattivare in modo silente antivirus, EDR, con riferimenti espliciti a rootkit, persistenza avanzata e bypass UAC zero-day.

Il prezzo dichiarato è di 500 dollari, con contatti diretti via Telegram e una lista di soluzioni di sicurezza “supportate” che include nomi di primo piano: Windows Defender, ESET, Kaspersky, Bitdefender, Malwarebytes e altri.

Una proposta che, se autentica, si colloca nella fascia alta del cybercrime-as-a-service.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

Cosa sono gli EDR

Gli EDR (Endpoint Detection and Response) sono soluzioni di sicurezza avanzata progettate per andare oltre il tradizionale antivirus. Il loro compito non è solo bloccare file malevoli, ma monitorare costantemente il comportamento del sistema.

In sintesi, un EDR:

• raccoglie telemetria continua dagli endpoint;
• analizza processi, chiamate di sistema, driver e memoria;
• correla eventi sospetti nel tempo;
• consente risposta attiva, come l’isolamento del sistema o la terminazione di processi.

A differenza degli AV classici, molti EDR operano a livello kernel, rendendo più difficile la loro disattivazione da parte di codice malevolo eseguito in user-mode.

Perché gli EDR sono un obiettivo primario

Nel cybercrime moderno, soprattutto nel contesto ransomware e intrusioni mirate, la prima fase dopo l’accesso iniziale è quasi sempre la neutralizzazione delle difese. Un EDR attivo:

• registra le azioni dell’attaccante;
• può generare alert in tempo reale;
• può interrompere la catena di attacco prima della fase finale.

Per questo motivo, la capacità di “accecamento” o disattivazione silente degli EDR è diventata un valore di mercato nei forum underground.

Come vengono aggirati gli EDR (livello concettuale)

I post come quello su NtKiller fanno riferimento a tecniche note a livello teorico, già osservate in campagne APT e ransomware avanzate. Non si tratta di exploit “magici”, ma di abusi profondi dell’architettura del sistema operativo.

Tra le macro-categorie di bypass comunemente discusse nei circuiti underground:

1. Abuso del livello kernel
   Portare codice malevolo allo stesso livello di privilegio dell’EDR riduce drasticamente la capacità di difesa. A questo livello, i controlli diventano una “lotta tra pari”.
2. Manipolazione dei driver
   L’uso (o abuso) di driver vulnerabili firmati è una tecnica storicamente osservata per ottenere operazioni privilegiate senza exploit diretti del kernel.
3. Disattivazione indiretta
   Invece di “uccidere” l’EDR, alcuni malware puntano a:
   • degradarne la visibilità;
   • interferire con la telemetria;
   • bloccare componenti di logging o comunicazione.
4. Persistenza invisibile
   Rootkit e meccanismi di avvio precoce permettono al malware di caricarsi prima delle soluzioni di sicurezza.
5. Bypass dei controlli di elevazione
   I riferimenti a UAC bypass indicano tecniche per ottenere privilegi elevati senza allertare l’utente, spesso sfruttando fiducia implicita in componenti di sistema.

Marketing underground e realtà operativa

Va sottolineato che non tutti gli annunci nei forum underground corrispondono a strumenti realmente efficaci. Molti sono:

• rebranding di tool già noti;
• proof-of-concept venduti come “weapon-grade”;
• vere e proprie truffe interne al mondo criminale.

Post come questo confermano che:

• gli EDR restano centrali nella difesa;
• il kernel è diventato un campo di battaglia;
• la sicurezza endpoint deve essere affiancata da monitoraggio comportamentale, hardening del driver model e threat hunting proattivo.

Per i difensori, osservare questi forum non significa “imparare ad attaccare”, ma capire come ragiona l’avversario, quali promesse vengono vendute e quali capacità sono considerate “di valore” nel sottobosco cybercriminale.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.