Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Gli EDR vanno ancora offline! Crescono le minacce con i figli di EDRKillShifter

Redazione RHC : 10 Agosto 2025 09:13

Un nuovo strumento per disabilitare i sistemi EDR è apparso nell’ambiente dei criminali informatici , che gli esperti di Sophos ritengono essere un’estensione dell’utility EDRKillShifter . Il suo utilizzo è già stato registrato in attacchi da parte di 8 diversi gruppi, tra cui RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx e INC.

Questi programmi consentono al ransomware di disabilitare le soluzioni di sicurezza sui dispositivi compromessi al fine di distribuire payload, aumentare i privilegi, spostarsi nella rete e, infine, crittografare i dati senza il rischio di essere rilevati.

Il nuovo EDR Killer è un binario fortemente offuscato che si decodifica durante l’esecuzione e si inietta nei processi legittimi. Il passo successivo consiste nel cercare un driver firmato digitalmente con un certificato rubato o scaduto e un nome casuale di cinque caratteri, codificato nel file eseguibile. Se viene trovato un driver di questo tipo, viene caricato nel kernel, consentendo l’implementazione della tecnica “Bring Your Own Vulnerable Driver” ( BYOVD ) e l’ottenimento dei privilegi di sistema necessari per disabilitare i prodotti di sicurezza.


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Camuffato da componenti legittimi, come il driver CrowdStrike Falcon Sensor , il driver dannoso termina i processi antivirus ed EDR e blocca i servizi correlati. Sono interessate le soluzioni di Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro e Webroot. Diverse versioni dello strumento differiscono nei nomi dei driver, nell’elenco dei prodotti target e nelle caratteristiche della build, ma in tutti i casi viene utilizzato il packer HeartCrypt. Secondo Sophos, non si tratta di un singolo file binario trapelato, ma di una piattaforma sviluppata congiuntamente e utilizzata anche da gruppi concorrenti, ognuno con la propria build unica.

    La pratica generale di condividere tali strumenti nella comunità dei ransomware è già nota. Oltre a EDRKillShifter, Sophos ha precedentemente scoperto altre utility di questa classe, come AuKill , utilizzata da Medusa Locker e LockBit. SentinelOne ha inoltre segnalato lo scorso anno che il gruppo FIN7 ha venduto il suo strumento AvNeutralizer a diverse gang, tra cui BlackBasta, AvosLocker, MedusaLocker, BlackCat, Trigona e LockBit. L’elenco completo degli indicatori di compromissione per il nuovo killer EDR è disponibile nel repository aperto GitHub .

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Che la caccia abbia inizio! Gli hacker sfruttano la falla Citrix per infiltrarsi nei sistemi globali
    Di Redazione RHC - 30/08/2025

    E’ stata rilevata una falla critica zero-day nei sistemi Citrix NetScaler, catalogata come CVE-2025-6543, che è stata oggetto di sfruttamento attivo da parte degli hacker criminali da maggio 2025, ...

    Il Pentagono avvia un Audit su Microsoft. Si indaga sugli ingegneri cinesi e su presunte backdoor
    Di Redazione RHC - 30/08/2025

    Il Pentagono ha inviato una “lettera di preoccupazione” a Microsoft documentando una “violazione di fiducia” in merito all’utilizzo da parte dell’azienda di ingegneri cinesi per la manuten...

    La miglior difesa è l’attacco! Google è pronta a lanciare Cyber Attacchi contro gli hacker criminali
    Di Redazione RHC - 30/08/2025

    Google è pronta ad adottare una posizione più proattiva per proteggere se stessa e potenzialmente altre organizzazioni statunitensi dagli attacchi informatici, con l’azienda che suggerisce di pote...

    Una exploit Zero-Click per WhatsApp consentiva la sorveglianza remota. Meta avvisa le vittime
    Di Redazione RHC - 30/08/2025

    Una falla di sicurezza nelle app di messaggistica di WhatsApp per Apple iOS e macOS è stata sanata, come riferito dalla stessa società, dopo essere stata probabilmente sfruttata su larga scala insie...

    Google avverte 2,5 miliardi di utenti Gmail: la sicurezza account a rischio. Fai il reset Password!
    Di Redazione RHC - 30/08/2025

    Un avviso di sicurezza di vasta portata è stato pubblicato da Google per i 2,5 miliardi di utenti del suo servizio Gmail, con l’obiettivo di rafforzare la protezione dei loro account a seguito di u...