Los afiliados de ransomware usan herramientas predecibles para desactivar EDR antes del cifrado. 54 de ellas abusan de drivers firmados pero vulnerables mediante la técnica BYOVD, mientras crecen los enfoques sin drivers y los kits comercializados en la dark net.
Los investigadores de ESET documentaron casi 90 herramientas diseñadas para desactivar software de detección y respuesta en endpoints (EDR) que se utilizan activamente en campañas de ransomware en todo el mundo. El análisis, publicado este 19 de marzo, revela que 54 de estos "EDR killers" explotan la técnica BYOVD (Bring Your Own Vulnerable Driver), abusando de un total de 35 drivers legítimos firmados pero vulnerables para obtener acceso a nivel de kernel y desactivar las defensas antes de ejecutar el cifrador.
El flujo de ataque es consistente entre grupos, un adversario obtiene privilegios elevados, despliega un EDR killer para neutralizar la protección del endpoint y solo entonces ejecuta el ransomware.
Según la investigación de ESET, esta aproximación ofrece a los afiliados una ventana breve pero fiable para completar el cifrado sin necesidad de modificar constantemente sus payloads para evadir la detección. La técnica BYOVD funciona porque los drivers, aunque vulnerables, están firmados digitalmente por sus fabricantes legítimos, lo que abusa del modelo de confianza de Microsoft para evadir defensas.
Picus Security detalla en su análisis que BYOVD no es una técnica de acceso inicial, requiere que el atacante ya tenga privilegios de administrador local, típicamente obtenidos mediante phishing, explotación de aplicaciones expuestas o compra de acceso a brokers. Una vez con privilegios, el adversario deposita el driver vulnerable en el sistema, lo registra mediante el Service Control Manager de Windows y explota sus fallos mediante llamadas DeviceIoControl para obtener ejecución en modo kernel. Desde ahí puede eliminar callbacks del EDR, terminar procesos de seguridad y dejar el endpoint indefenso.
La investigación de ESET va más allá de los drivers vulnerables que dominan las discusiones técnicas. Los investigadores también identificaron 7 EDR killers basados en scripts y 15 que reutilizan utilidades legítimas anti-rootkit u otro software gratuito disponible. Además, documentaron el crecimiento de enfoques "driverless" que interfieren con la comunicación del EDR o suspenden procesos en ejecución sin necesidad de tocar el kernel.
Esta diversidad complica la defensa y la atribución: el mismo driver aparece en herramientas no relacionadas, y la misma herramienta puede migrar entre drivers diferentes según convenga.
Un hallazgo particularmente relevante es que la selección del EDR killer recae en los afiliados, no en los operadores del ransomware-as-a-service. Cuanto mayor es el conjunto de afiliados de un programa, mayor es la diversidad de herramientas que los defensores deben enfrentar. Esto significa que un mismo "brand" de ransomware puede usar múltiples EDR killers diferentes según qué afiliado ejecute el ataque. La atribución basada únicamente en drivers suele ser engañosa por esta razón, según la investigación publicada por WeLiveSecurity.
ESET también encontró evidencias de desarrollo asistido por IA en algunos EDR killers recientes, con un ejemplo concreto en la pandilla Warlock, el código incluye secciones que imprimen listas de posibles correcciones, un patrón asociado con código boilerplate generado por IA. Estas herramientas también implementan mecanismos de prueba y error que ciclan entre varios nombres de dispositivos comúnmente abusados hasta encontrar uno que funcione en el sistema objetivo.
El modelo de "packer como servicio" y "EDR killer como producto" está aumentando la disponibilidad de estas herramientas en la dark net, agregando capas de ofuscación que complican tanto la detección como la atribución.
Para las organizaciones en LATAM, la implicación es clara, las intrusiones de ransomware son operaciones interactivas donde los atacantes adaptan continuamente sus herramientas. Bloquear drivers vulnerables es necesario pero insuficiente. Los equipos de seguridad deben implementar monitoreo proactivo en las etapas de escalamiento de privilegios e instalación de drivers, antes de que el cifrador llegue a desplegarse.
FUENTE ORIGINAL
WeLiveSecurity↗CURADO POR
Alejandro Vargas