Redazione RHC : 10 Agosto 2025 09:13
Un nuovo strumento per disabilitare i sistemi EDR è apparso nell’ambiente dei criminali informatici , che gli esperti di Sophos ritengono essere un’estensione dell’utility EDRKillShifter . Il suo utilizzo è già stato registrato in attacchi da parte di 8 diversi gruppi, tra cui RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx e INC.
Questi programmi consentono al ransomware di disabilitare le soluzioni di sicurezza sui dispositivi compromessi al fine di distribuire payload, aumentare i privilegi, spostarsi nella rete e, infine, crittografare i dati senza il rischio di essere rilevati.
Il nuovo EDR Killer è un binario fortemente offuscato che si decodifica durante l’esecuzione e si inietta nei processi legittimi. Il passo successivo consiste nel cercare un driver firmato digitalmente con un certificato rubato o scaduto e un nome casuale di cinque caratteri, codificato nel file eseguibile. Se viene trovato un driver di questo tipo, viene caricato nel kernel, consentendo l’implementazione della tecnica “Bring Your Own Vulnerable Driver” ( BYOVD ) e l’ottenimento dei privilegi di sistema necessari per disabilitare i prodotti di sicurezza.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Camuffato da componenti legittimi, come il driver CrowdStrike Falcon Sensor , il driver dannoso termina i processi antivirus ed EDR e blocca i servizi correlati. Sono interessate le soluzioni di Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro e Webroot. Diverse versioni dello strumento differiscono nei nomi dei driver, nell’elenco dei prodotti target e nelle caratteristiche della build, ma in tutti i casi viene utilizzato il packer HeartCrypt. Secondo Sophos, non si tratta di un singolo file binario trapelato, ma di una piattaforma sviluppata congiuntamente e utilizzata anche da gruppi concorrenti, ognuno con la propria build unica.
La pratica generale di condividere tali strumenti nella comunità dei ransomware è già nota. Oltre a EDRKillShifter, Sophos ha precedentemente scoperto altre utility di questa classe, come AuKill , utilizzata da Medusa Locker e LockBit. SentinelOne ha inoltre segnalato lo scorso anno che il gruppo FIN7 ha venduto il suo strumento AvNeutralizer a diverse gang, tra cui BlackBasta, AvosLocker, MedusaLocker, BlackCat, Trigona e LockBit. L’elenco completo degli indicatori di compromissione per il nuovo killer EDR è disponibile nel repository aperto GitHub .
“Il sistema di difesa militare Skynet entrerà in funzione il 4 agosto 1997. Comincerà ad autoistruirsi imparando a ritmo esponenziale e diverrà autocosciente alle 2:14 del giorno...
Un nuovo strumento per disabilitare i sistemi EDR è apparso nell’ambiente dei criminali informatici , che gli esperti di Sophos ritengono essere un’estensione dell’utility ED...
Una vulnerabilità di WinRAR recentemente chiusa monitorata con il codice CVE-2025-8088 è stata sfruttata in attacchi di phishing mirati prima del rilascio della patch. Il problema era un Dir...
Alla conferenza Black Hat di Las Vegas, VisionSpace Technologies ha dimostrato che è molto più facile ed economico disattivare un satellite o modificarne la traiettoria rispetto all’u...
Una falla di sicurezza cruciale nell’HTTP/1.1 è stata resa pubblica dagli esperti di sicurezza, mettendo in luce una minaccia che continua ad impattare sull’infrastruttura web da pi...