Redazione RHC : 10 Agosto 2025 09:13
Un nuovo strumento per disabilitare i sistemi EDR è apparso nell’ambiente dei criminali informatici , che gli esperti di Sophos ritengono essere un’estensione dell’utility EDRKillShifter . Il suo utilizzo è già stato registrato in attacchi da parte di 8 diversi gruppi, tra cui RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx e INC.
Questi programmi consentono al ransomware di disabilitare le soluzioni di sicurezza sui dispositivi compromessi al fine di distribuire payload, aumentare i privilegi, spostarsi nella rete e, infine, crittografare i dati senza il rischio di essere rilevati.
Il nuovo EDR Killer è un binario fortemente offuscato che si decodifica durante l’esecuzione e si inietta nei processi legittimi. Il passo successivo consiste nel cercare un driver firmato digitalmente con un certificato rubato o scaduto e un nome casuale di cinque caratteri, codificato nel file eseguibile. Se viene trovato un driver di questo tipo, viene caricato nel kernel, consentendo l’implementazione della tecnica “Bring Your Own Vulnerable Driver” ( BYOVD ) e l’ottenimento dei privilegi di sistema necessari per disabilitare i prodotti di sicurezza.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Camuffato da componenti legittimi, come il driver CrowdStrike Falcon Sensor , il driver dannoso termina i processi antivirus ed EDR e blocca i servizi correlati. Sono interessate le soluzioni di Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro e Webroot. Diverse versioni dello strumento differiscono nei nomi dei driver, nell’elenco dei prodotti target e nelle caratteristiche della build, ma in tutti i casi viene utilizzato il packer HeartCrypt. Secondo Sophos, non si tratta di un singolo file binario trapelato, ma di una piattaforma sviluppata congiuntamente e utilizzata anche da gruppi concorrenti, ognuno con la propria build unica.
La pratica generale di condividere tali strumenti nella comunità dei ransomware è già nota. Oltre a EDRKillShifter, Sophos ha precedentemente scoperto altre utility di questa classe, come AuKill , utilizzata da Medusa Locker e LockBit. SentinelOne ha inoltre segnalato lo scorso anno che il gruppo FIN7 ha venduto il suo strumento AvNeutralizer a diverse gang, tra cui BlackBasta, AvosLocker, MedusaLocker, BlackCat, Trigona e LockBit. L’elenco completo degli indicatori di compromissione per il nuovo killer EDR è disponibile nel repository aperto GitHub .
RedazionePeter Williams, ex dipendente dell’azienda appaltatrice della difesa, si è dichiarato colpevole presso un tribunale federale degli Stati Uniti di due capi d’accusa per furto di segreti commercial...
L’interruzione dei servizi cloud di Microsoft, avvenuta poche ore prima della pubblicazione dei risultati trimestrali, è solo l’ultimo episodio di una lunga serie di blackout che stanno mettendo ...
Il Dipartimento dell’Energia degli Stati Uniti (DOE) ha avviato una collaborazione strategica con Nvidia e Oracle per costruire sette supercomputer di nuova generazione basati sull’intelligenza ar...
Una interruzione del servizio DNS è stata rilevata il 29 ottobre 2025 da Microsoft, con ripercussioni sull’accesso ai servizi fondamentali come Microsoft Azure e Microsoft 365. Un’ anomalia è st...
Per la seconda volta negli ultimi mesi, Google è stata costretta a smentire le notizie di una massiccia violazione dei dati di Gmail. La notizia è stata scatenata dalle segnalazioni di un “hacking...
