EDRKillShifter: Nueva Amenaza para la Seguridad de Endpoints

Posted on August 19, 2024
Los analistas de Sophos han identificado un nuevo malware, denominado EDRKillShifter, que apunta a máquinas con Windows explotando controladores legítimos pero vulnerables para desplegar ransomware. El objetivo principal del malware es desactivar el software de detección y respuesta de endpoints (EDR), dejando los sistemas vulnerables a ataques adicionales.

EDRKillShifter utiliza vulnerabilidades de controladores conocidas públicamente, una táctica común entre el malware diseñado para interrumpir la funcionalidad de EDR. RansomHub, una herramienta que ha ganado popularidad rápidamente entre los actores de ransomware, se está utilizando junto con EDRKillShifter, lo que indica el potencial de este malware para convertirse en una amenaza significativa. Sin embargo, Sophos señala que, aunque EDRKillShifter es peligroso, puede mitigarse con las medidas de seguridad adecuadas.

El malware requiere que el atacante tenga privilegios elevados en la máquina objetivo. Una vez obtenidos estos privilegios, el atacante puede ejecutar EDRKillShifter a través de la línea de comandos, iniciando un proceso complejo que incluye ingresar una contraseña para activar el malware. EDRKillShifter luego ofusca sus actividades utilizando código automodificable y varios EDR killers, escritos en Go y ofuscados.

Si EDRKillShifter logra incrustarse en la memoria del sistema, despliega una de dos cargas útiles diseñadas para crear un nuevo servicio para el controlador comprometido. Este servicio fuerza al controlador a entrar en un bucle infinito, deshabilitando efectivamente cualquier medida de seguridad que dependa de él.

Sophos recomienda que la mejor defensa contra EDRKillShifter es mantener buenas prácticas de seguridad en Windows. Esto incluye separar los roles de usuario y administrador, habilitar la protección contra manipulaciones en el software EDR y mantener todos los sistemas y controladores actualizados. A pesar de estas precauciones, la asociación cercana con RansomHub sugiere que esta amenaza debe ser monitoreada de cerca.

Source: The Register

La European Cyber Intelligence Foundation es un think tank sin fines de lucro especializado en inteligencia y ciberseguridad, que ofrece servicios de consultoría a entidades gubernamentales. Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net, o puedes intentarlo tú mismo usando check.website.