All’interno di un forum underground chiuso, frequentato da operatori malware e broker di accesso iniziale, è comparso un annuncio che ha attirato l’attenzione della comunità di cyber threat intelligence. Il post promuove “NtKiller”, una presunta utility “kernel-level” progettata per disattivare in modo silente antivirus, EDR, con riferimenti espliciti a rootkit, persistenza avanzata e bypass UAC zero-day.
Il prezzo dichiarato è di 500 dollari, con contatti diretti via Telegram e una lista di soluzioni di sicurezza “supportate” che include nomi di primo piano: Windows Defender, ESET, Kaspersky, Bitdefender, Malwarebytes e altri.
Una proposta che, se autentica, si colloca nella fascia alta del cybercrime-as-a-service.
Advertising
Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.
Cosa sono gli EDR
Gli EDR (Endpoint Detection and Response) sono soluzioni di sicurezza avanzata progettate per andare oltre il tradizionale antivirus. Il loro compito non è solo bloccare file malevoli, ma monitorare costantemente il comportamento del sistema.
In sintesi, un EDR:
raccoglie telemetria continua dagli endpoint;
analizza processi, chiamate di sistema, driver e memoria;
correla eventi sospetti nel tempo;
consente risposta attiva, come l’isolamento del sistema o la terminazione di processi.
A differenza degli AV classici, molti EDR operano a livello kernel, rendendo più difficile la loro disattivazione da parte di codice malevolo eseguito in user-mode.
Perché gli EDR sono un obiettivo primario
Nel cybercrime moderno, soprattutto nel contesto ransomware e intrusioni mirate, la prima fase dopo l’accesso iniziale è quasi sempre la neutralizzazione delle difese. Un EDR attivo:
Advertising
registra le azioni dell’attaccante;
può generare alert in tempo reale;
può interrompere la catena di attacco prima della fase finale.
Per questo motivo, la capacità di “accecamento” o disattivazione silente degli EDR è diventata un valore di mercato nei forum underground.
Come vengono aggirati gli EDR (livello concettuale)
I post come quello su NtKiller fanno riferimento a tecniche note a livello teorico, già osservate in campagne APT e ransomware avanzate. Non si tratta di exploit “magici”, ma di abusi profondi dell’architettura del sistema operativo.
Tra le macro-categorie di bypass comunemente discusse nei circuiti underground:
Abuso del livello kernel Portare codice malevolo allo stesso livello di privilegio dell’EDR riduce drasticamente la capacità di difesa. A questo livello, i controlli diventano una “lotta tra pari”.
Manipolazione dei driver L’uso (o abuso) di driver vulnerabili firmati è una tecnica storicamente osservata per ottenere operazioni privilegiate senza exploit diretti del kernel.
Disattivazione indiretta Invece di “uccidere” l’EDR, alcuni malware puntano a:
degradarne la visibilità;
interferire con la telemetria;
bloccare componenti di logging o comunicazione.
Persistenza invisibile Rootkit e meccanismi di avvio precoce permettono al malware di caricarsi prima delle soluzioni di sicurezza.
Bypass dei controlli di elevazione I riferimenti a UAC bypass indicano tecniche per ottenere privilegi elevati senza allertare l’utente, spesso sfruttando fiducia implicita in componenti di sistema.
Marketing underground e realtà operativa
Va sottolineato che non tutti gli annunci nei forum underground corrispondono a strumenti realmente efficaci. Molti sono:
rebranding di tool già noti;
proof-of-concept venduti come “weapon-grade”;
vere e proprie truffe interne al mondo criminale.
Post come questo confermano che:
gli EDR restano centrali nella difesa;
il kernel è diventato un campo di battaglia;
la sicurezza endpoint deve essere affiancata da monitoraggio comportamentale, hardening del driver model e threat hunting proattivo.
Per i difensori, osservare questi forum non significa “imparare ad attaccare”, ma capire come ragiona l’avversario, quali promesse vengono vendute e quali capacità sono considerate “di valore” nel sottobosco cybercriminale.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza:Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.