Malware EDRKillShifter

Se ha descubierto que un grupo de ciberdelincuentes asociado con el ransomware RansomHub está implementando una nueva herramienta destinada a desactivar el software de detección y respuesta de endpoints (EDR) en los sistemas comprometidos. Los expertos en ciberseguridad han llamado a esta herramienta de desactivación de EDR "EDRKillShifter". La herramienta fue descubierta tras un intento fallido de ransomware en mayo de 2024. EDRKillShifter ahora se suma a otros programas similares, como AuKill (también conocido como AvNeutralizer) y Terminator.

EDRKillShifter funciona como un ejecutable "cargador" que sirve como mecanismo de entrega de un controlador legítimo pero vulnerable; este tipo de herramienta se conoce normalmente como "traiga su propio controlador vulnerable" (BYOVD). Según los objetivos del actor de la amenaza, puede implementar varias cargas útiles de controlador.

El nuevo rostro de un antiguo grupo de ciberdelincuentes

El ransomware RansomHub , que se cree es una versión renombrada del ransomware Knight , surgió en febrero de 2024. Aprovecha vulnerabilidades de seguridad conocidas para obtener acceso inicial, implementando herramientas legítimas de escritorio remoto como Atera y Splashtop para mantener el acceso persistente. El mes pasado, Microsoft reveló que el infame grupo de ciberdelincuencia Scattered Spider ha agregado cepas de ransomware como RansomHub y Qilin a su conjunto de herramientas.

Cadena de ataque y funcionamiento de EDRKillShifter

El ejecutable, que se ejecuta a través de la línea de comandos con una cadena de contraseña, descifra un recurso integrado llamado BIN y lo ejecuta directamente en la memoria. Este recurso BIN descomprime y ejecuta una carga útil ofuscada basada en Go final que explota varios controladores legítimos y vulnerables para obtener privilegios elevados y deshabilitar el software EDR.

La propiedad de idioma del binario está configurada en ruso, lo que sugiere que el malware se compiló en un sistema con configuraciones de localización en ruso. Todas las herramientas descomprimidas para desactivar EDR incorporan un controlador vulnerable dentro de la sección .data.

Se recomienda mantener los sistemas actualizados, habilitar la protección contra manipulaciones en el software EDR y mantener prácticas de seguridad sólidas para los roles de Windows para mitigar esta amenaza. Este ataque solo es posible si el atacante puede aumentar los privilegios u obtener derechos de administrador. Garantizar una separación clara entre los privilegios de usuario y de administrador puede ayudar enormemente a evitar que los atacantes carguen fácilmente controladores dañados.

¿Cómo mejorar la seguridad de sus dispositivos contra infecciones de malware?

Para fortalecer la seguridad del dispositivo y protegerlo contra infecciones de malware, se recomienda a los usuarios adoptar las siguientes prácticas recomendadas integrales:

• Actualizaciones periódicas de software: Sistema operativo: asegúrese de que su sistema operativo se actualice periódicamente con los últimos parches y actualizaciones de seguridad para abordar y corregir las vulnerabilidades conocidas. Aplicaciones: actualice periódicamente todo el software instalado, incluidos los navegadores web, los complementos y otras aplicaciones, para mantener la seguridad y la funcionalidad.

• Contraseñas seguras y únicas: Complejidad de contraseñas: cree contraseñas complejas que combinen letras, números y símbolos para mejorar la seguridad. Gestión de contraseñas: utilice un administrador de contraseñas de confianza para generar, almacenar y administrar contraseñas únicas para cada cuenta, lo que reduce el riesgo de infracciones relacionadas con las contraseñas.

• Autenticación de dos factores (2FA) : seguridad adicional: implemente la autenticación de dos factores en todas las cuentas y servicios que la admitan, agregando una capa más de seguridad más allá de las contraseñas tradicionales.

• Software antimalware: protección en tiempo real: instale y mantenga programas antimalware confiables que ofrezcan protección en tiempo real y realicen análisis periódicos para detectar y neutralizar amenazas. Actualizaciones de programas: actualice periódicamente estos programas de seguridad para asegurarse de que puedan identificar y combatir amenazas nuevas y emergentes de manera eficaz.

• Prácticas de navegación segura: Evite enlaces sospechosos: evite acceder a enlaces o descargar archivos adjuntos de correos electrónicos desconocidos o sospechosos para evitar infecciones de malware. Verifique los sitios web: asegúrese de navegar a sitios web seguros y legítimos verificando que la URL tenga HTTPS antes de ingresar información privada.

• Copias de seguridad periódicas: Copia de seguridad de datos: realice copias de seguridad frecuentes de datos críticos en un dispositivo de almacenamiento independiente o en un servicio en la nube para minimizar la posible pérdida de datos en caso de un ataque de malware.

• Configuración del firewall: Protección de red: utilice un firewall para regular el tráfico de red entrante y saliente, bloqueando así el acceso no autorizado y mejorando la seguridad de la red.

• Privilegios de usuario: Principio de privilegio mínimo: En lugar de una cuenta de administrador, utilice una cuenta de usuario normal para limitar el posible impacto del malware en las operaciones del sistema. Cuentas independientes: Mantenga cuentas distintas para las actividades rutinarias y las tareas administrativas a fin de mitigar el riesgo de una escalada de privilegios no autorizada.

• Educación y concientización: Concientización sobre el phishing: Manténgase informado sobre las tácticas de phishing y las tácticas de ingeniería social más comunes para disminuir la posibilidad de ser víctima de este tipo de ataques. Capacitación continua: Participe continuamente en la capacitación y los recursos educativos para mantenerse actualizado sobre las últimas amenazas de seguridad y las mejores prácticas.

Al adoptar estas mejores prácticas, los usuarios pueden reforzar significativamente sus defensas contra infecciones de malware y otras amenazas de seguridad, mejorando la seguridad y la integridad general del sistema.

Video Malware EDRKillShifter

Consejo: encienda el sonido y mire el video en modo de pantalla completa .