Redazione RHC : 10 Agosto 2025 09:13
Un nuovo strumento per disabilitare i sistemi EDR è apparso nell’ambiente dei criminali informatici , che gli esperti di Sophos ritengono essere un’estensione dell’utility EDRKillShifter . Il suo utilizzo è già stato registrato in attacchi da parte di 8 diversi gruppi, tra cui RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx e INC.
Questi programmi consentono al ransomware di disabilitare le soluzioni di sicurezza sui dispositivi compromessi al fine di distribuire payload, aumentare i privilegi, spostarsi nella rete e, infine, crittografare i dati senza il rischio di essere rilevati.
Il nuovo EDR Killer è un binario fortemente offuscato che si decodifica durante l’esecuzione e si inietta nei processi legittimi. Il passo successivo consiste nel cercare un driver firmato digitalmente con un certificato rubato o scaduto e un nome casuale di cinque caratteri, codificato nel file eseguibile. Se viene trovato un driver di questo tipo, viene caricato nel kernel, consentendo l’implementazione della tecnica “Bring Your Own Vulnerable Driver” ( BYOVD ) e l’ottenimento dei privilegi di sistema necessari per disabilitare i prodotti di sicurezza.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Camuffato da componenti legittimi, come il driver CrowdStrike Falcon Sensor , il driver dannoso termina i processi antivirus ed EDR e blocca i servizi correlati. Sono interessate le soluzioni di Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro e Webroot. Diverse versioni dello strumento differiscono nei nomi dei driver, nell’elenco dei prodotti target e nelle caratteristiche della build, ma in tutti i casi viene utilizzato il packer HeartCrypt. Secondo Sophos, non si tratta di un singolo file binario trapelato, ma di una piattaforma sviluppata congiuntamente e utilizzata anche da gruppi concorrenti, ognuno con la propria build unica.
La pratica generale di condividere tali strumenti nella comunità dei ransomware è già nota. Oltre a EDRKillShifter, Sophos ha precedentemente scoperto altre utility di questa classe, come AuKill , utilizzata da Medusa Locker e LockBit. SentinelOne ha inoltre segnalato lo scorso anno che il gruppo FIN7 ha venduto il suo strumento AvNeutralizer a diverse gang, tra cui BlackBasta, AvosLocker, MedusaLocker, BlackCat, Trigona e LockBit. L’elenco completo degli indicatori di compromissione per il nuovo killer EDR è disponibile nel repository aperto GitHub .
E’ stata rilevata una falla critica zero-day nei sistemi Citrix NetScaler, catalogata come CVE-2025-6543, che è stata oggetto di sfruttamento attivo da parte degli hacker criminali da maggio 2025, ...
Il Pentagono ha inviato una “lettera di preoccupazione” a Microsoft documentando una “violazione di fiducia” in merito all’utilizzo da parte dell’azienda di ingegneri cinesi per la manuten...
Google è pronta ad adottare una posizione più proattiva per proteggere se stessa e potenzialmente altre organizzazioni statunitensi dagli attacchi informatici, con l’azienda che suggerisce di pote...
Una falla di sicurezza nelle app di messaggistica di WhatsApp per Apple iOS e macOS è stata sanata, come riferito dalla stessa società, dopo essere stata probabilmente sfruttata su larga scala insie...
Un avviso di sicurezza di vasta portata è stato pubblicato da Google per i 2,5 miliardi di utenti del suo servizio Gmail, con l’obiettivo di rafforzare la protezione dei loro account a seguito di u...