Aviso sobre amenazas de ciberseguridad:

20 de agosto de 2024

EDR KillShifter en Aumento.

Se ha observado que un grupo de ciberdelincuentes asociado con el Ransomware de RansomHub utiliza una herramienta recientemente desarrollada nombra como “EDRKillShifter” para desactivar el software de detección y respuesta de endpoints (EDR) en los sistemas comprometidos. Esta herramienta es la ultima de una lista cada vez mayor de utilidades de eliminación de EDR utilizadas por los atacantes para facilitar sus actividades maliciosas.

¿Cuál es la amenaza?

EDRKillShifter es un sofisticado Malware diseñado para desactivar los sistemas EDR. Una vez desactivado, los atacantes pueden llevar a cabo actividades maliciosas, como lanzar ataques de Ransomware sin ser detectados. La amenaza opera mediante un método conocido como “Bring Your Own Vulnerable Driver” (BYOVD), en el que los atacantes explotan controladores legítimos con vulnerabilidades conocidas para aumentar los privilegios y desactivar las protecciones de seguridad.

El ataque comienza cuando los atacantes ejecutan una contraseña de línea de comandos especifica en un sistema comprometido. Esta contraseña descifra un recurso integrado conocido como BIN, que luego se ejecuta en la memoria. El recurso BIN, que luego se ejecuta en la memoria. El recurso BIN descifrado descomprime y realiza una carga útil final escrita en el lenguaje de programación Go. Esta carga útil está diseñada específicamente para explotar un controlador vulnerable que esta incluido dentro del propio Malware. El controlador se utiliza para obtener privilegios elevados en el sistema, lo que permite al Malware deshabilitar o eludir los procesos EDR.

Una vez cargado el controlador, EDRKillShifter utiliza un código que se modifica automáticamente para bloquear sus instrucciones durante el tiempo de ejecución, lo que dificulta su análisis o detección. A continuación, el Malware entra en un bucle sin fin, escaneado y terminando continuamente los procesos asociados con el software EDR en función de una lista de objetivos codificada. La combinación de técnicas BYOVD y código que se modifica automáticamente convierte a EDRKillShifter en una herramienta muy eficaz para evadir la detección y desactivar las medidas de seguridad.

¿Por qué es de relevancia?

La introducción de EDRKillShifter pone de relieve la continua evolución y sofisticación de los grupos de Ransomware. Al desactivar los sistemas EDR, los atacantes pueden aumentar significativamente la probabilidad de una implemenetacion exitosa de Ransomware, lo que puede tener consecuencias devastadoras para las organizaciones atacadas. Además, el uso de controladores legítimos por parte de la herramienta para eludir las medidas de seguridad ejemplifica la creciente tendencia de los atacantes a aprovechar las vulnerabilidades de software existentes, lo que dificulta que los equipos de seguridad se defiendan de tales amenazas.

¿Cuál es el riesgo?

Las organizaciones que dependen de soluciones EDR enfrentan un riesgo significativo si los atacantes usan esta herramienta en su contra. Una vez que la desactivan, los atacantes pueden operar con poca o ninguna detección. Esto puede generar resultados potencialmente catastróficos, como cifrado de datos, robo y extorsión. La capacidad de la herramienta para explotar una variedad de factores aumenta el riesgo, lo que hace que una amplia gama de sistemas sea vulnerable a los ataques.

Recomendaciones

Se recomienda encarecidamente a las organizaciones que tomen estas medidas adicionales para proteger sus equipos contra el uso indebido de los controladores:

Habilite las funciones de protección contra manipulaciones en todas las soluciones EDR para evitar modificaciones no autorizadas o la desactivación de herramientas de seguridad.
Limite los privilegios administrativos en toda la organización para reducir el riesgo de que los atacantes aumenten sus privilegios a través de cuentas comprometidas.
Actualice todo el software, incluidos los controladores, para reparar las vulnerabilidades conocidas como herramientas EDRKillShifter podrían explotar.

XDR

Barracuda XDR ofrece un servicio de seguridad de Endpoints administrado integral que esta bien equipado para contrarrestar amenazas como EDRKillShifter. Al adquirir este servicio, las organizaciones pueden beneficiarse de una protección solida de Endpoints que incluye funciones anti-manipulación de forma predeterminada. Esta característica fundamental garantiza que incluso las amenazas avanzadas tengan dificultades para desactivar las defensas de seguridad sin ser detectadas.

Además, el servicio de XDR puede activar alertas si alguien desactiva la función de anti-manipulación a nivel de política. Esto agrega una capa adicional de seguridad y aborda cualquier intento de socavar la protección de endpoints de inmediato. Las nuevas versiones de la herramienta EDR evitan problemas de interoperabilidad antes de la implementación, asegurándose de este modo que los clientes reciban las soluciones más confiables manteniéndolos protegidos en todo momento.

Este enfoque proactivo, combinado con un monitoreo continuo y un soporte experto hace que la herramienta XDR sea un socion invaluable en la defensa contra amenazas sofisticadas como las que plantea EDRKillShifter.

¿Qué hace que Barracuda XDR sea indispensable?

🔒 Endpoint Protection: Defiende cada dispositivo conectado a tu red con una protección avanzada contra Malware, Ransomware y otras amenazas sofisticadas.

📧 Email Security: Protege tu correo electrónico contra phishing, spam y ataques de ingeniería social, manteniendo segura la comunicación de tu empresa.

🌐 Network Security: Supervisa y protege tu red de ataques internos y externos, asegurando que cada paquete de datos esté seguro y sin compromisos.

📊 SIEM (Security Information and Event Management): Centraliza y analiza eventos de seguridad en tiempo real, permitiéndote identificar y responder a amenazas de manera rápida y eficiente.

🛡️ Threat Intelligence: Utiliza inteligencia artificial y aprendizaje automático para anticipar y mitigar riesgos, proporcionando información detallada sobre amenazas emergentes.

🔍 Vulnerability Management: Identifica, clasifica y aborda vulnerabilidades en tus sistemas antes de que los atacantes puedan explotarlas.