A medida que los grupos de ransomware recurren cada vez más al uso de "EDR killers", las empresas deben reforzar su seguridad.
Al monitorear las tendencias del ransomware a nivel global, los investigadores de ESET observaron un aumento en la variedad de "EDR killers" diseñados para obstaculizar las herramientas de ciberseguridad. El objetivo evidente es permitir la ejecución del cifrador del ransomware, lo que representa otro desafío más para las empresas que intentan defenderse de ataques motivados por fines económicos.
Paralelamente, el equipo de ESET Research también llevó a cabo un análisis más profundo del ecosistema del ransomware, centrándose en el grupo de ransomware como servicio, RansomHub, y en la estructura de su red de afiliados. Finalmente, se descubrieron vínculos que explicarían el aumento en la variedad de "EDR killers" al seguir el rastro de las herramientas que ofrece RansomHub. Comprender estas conexiones puede ofrecer pistas sobre el aumento en la detección de "EDR killers" y cómo mitigar estos riesgos.
Estas herramientas, aunque parezcan preocupantes, se pueden detener. Con las medidas de prevención adecuadas y el uso de una solución de ciberseguridad confiable, proporcionada por un proveedor de seguridad con experiencia, debería ser suficiente para estar protegido.
Infiltrándose en el kernel
El malware diseñado para detectar y desactivar las defensas de seguridad de las empresas aumentó su popularidad en un 333%, según el informe Picus Red Report 2024.
Las versiones más simples de los EDR killers se presentan como scripts que intentan, de manera directa, finalizar una lista de procesos. Las versiones más sofisticadas van más allá y utilizan una técnica conocida como Bring Your Own Vulnerable Driver (BYOVD), que consiste en abusar de controladores legítimos pero vulnerables (generalmente antiguos) para acceder al kernel del sistema operativo apuntado.
Un EDR killer típico utiliza un componente en modo usuario (el código "killer") encargado de la orquestación. Este componente instala un controlador vulnerable —a menudo embebido en sus propios datos o recursos— y luego recorre una lista de nombres de procesos, emitiendo comandos al controlador para eliminarlos, aprovechando el acceso al kernel que dicho controlador proporciona.
Los afiliados a grupos de ransomware también abusan de herramientas legítimas para usarlas como EDR killers. Por ejemplo, los eliminadores de rootkits, debido a su propia naturaleza, requieren acceso al modo kernel y necesitan poder realizar una inspección profunda del funcionamiento interno del sistema operativo. Esta capacidad tan poderosa puede ser explotada por actores maliciosos.
Cómo prepararse para lidiar contra los EDR killers
Defenderse contra los EDR killers no es una tarea sencilla y requiere un enfoque de ciberseguridad basado en la prevención, además de una protección en múltiples capas que sea capaz de detectar malware en varias etapas del ataque. Aquí van algunos consejos:
- Un EDR de alta calidad es imprescindible – Un EDR killer es una herramienta de ataque sofisticada; por lo tanto, la solución de ciberseguridad implementada en los endpoints debe ser de primer nivel. Esto significa que debe contar con mecanismos para detectar código malicioso que abusa de un controlador vulnerable, incluso antes de su ejecución. Sin embargo, debido a técnicas de ofuscación intensiva u otros métodos de evasión, esto puede no ser siempre posible.
- Protección contra manipulaciones (Tamper protection) – Esto impide que usuarios no autorizados desactiven o modifiquen los componentes o funcionalidades de una solución de seguridad.
- Bloqueo de controladores vulnerables – Esto se puede lograr mediante políticas estrictas relacionadas con aplicaciones potencialmente inseguras (PUSA) y detecciones basadas en archivos. Para evitar interrupciones en el sistema, se recomienda comenzar con un modo de “Detectar pero no limpiar”, luego agregar exclusiones según sea necesario, y finalmente cambiar a un modo de “Detectar y limpiar”.
- Gestión de vulnerabilidades y parches – Los actores de amenazas más sofisticados pueden intentar aprovechar un controlador vulnerable que ya esté presente en la máquina comprometida, en lugar de depender de la técnica BYOVD. Por ello, contar con una adecuada gestión de parches es otro método de defensa eficaz.
- Fortalecer el control de aplicaciones – Mejora tus defensas mediante el control de aplicaciones. Por ejemplo, con Windows Defender Application Control (WDAC) puedes crear una política que solo permita la carga de determinados controladores. Otras plataformas utilizan tecnologías como el Sistema de prevención de intrusiones basado en el host de ESET, que emplea una "Regla" para bloquear una aplicación específica.
- Limitar el acceso a la configuración de seguridad del endpoint – Usar una contraseña robusta para bloquear el acceso a estas configuraciones añade una capa adicional de protección.
- Conoce tu entorno – Estas herramientas requieren un conocimiento profundo y atención constante sobre los sistemas protegidos, para evitar interferencias con software legítimo y posibles interrupciones del negocio.
Ten en cuenta que el cifrado de archivos y la extorsión posterior suelen ser las etapas finales de un ataque de ransomware. En otras palabras, la red ya fue vulnerada previamente y el atacante logró obtener privilegios de administrador, lo que le permitió avanzar y desplegar tanto el EDR killer como el ransomware. La tarea de quienes trabajan en defensa es detectar el ataque en sus primeras etapas para evitar que progrese hasta ese punto. Esto demuestra la importancia de la prevención y la necesidad de una mitigación rápida.
Consejos profesionales: Detección de EDR killers a través de ESET Inspect
Estas reglas de detección disponibles en el sistema ESET Inspect pueden ayudarte a identificar y desviar amenazas que utilizan EDR killers:
- Carga de controlador desde una ubicación inusual [D1303] – Algunos EDR killers cargan controladores desde ubicaciones poco comunes. Esta detección notifica a los administradores al respecto.
- Posible omisión del EDR – Controlador vulnerable [Q1301] – Detecta la carga de controladores vulnerables utilizados en el proyecto RealblindingEDR.
- Suplantación de controlador vulnerable [Q1302] y Carga decontrolador vulnerable de Zemana [Q1303] – Detectan la descarga o carga de ciertas versiones vulnerables de controladores que se han observado siendo utilizadas en ataques de ransomware. Tienen un nivel de severidad alto y activan automáticamente la generación de un incidente.
- Carga de controlador vulnerable conocido [D1302] – Genera una alerta si se carga uno de varios controladores legítimos pero ya conocidos por ser vulnerables.
Cómo gestionarlo de forma simple
Un enfoque basado en la prevención no solo debe incluir tecnologías de seguridad de primera calidad, sino también priorizar una buena higiene digital y reducir la carga del personal de TI. La fatiga por alertas es un problema real que, si no se maneja bien, puede terminar en brechas de seguridad. Lidiar con EDR killers requiere concentración por parte de los especialistas en TI, por lo que siempre es bueno contar con tecnologías que simplifiquen las cosas al máximo.
Para facilitar la vida del equipo de TI, la Plataforma ESET Protect ofrece una gama completa de capacidades unificadas en una sola interfaz, brindando visibilidad total de los sistemas protegidos. Además, todas las soluciones y módulos están diseñados para minimizar la cantidad de atención, clics y portales necesarios, simplificando su uso al máximo.
Por ejemplo, ESET Inspect ofrece acciones de respuesta accesibles con un solo clic, como apagar un equipo, aislarlo de la red o finalizar un proceso en ejecución. También permite la búsqueda proactiva de amenazas mediante búsquedas por indicadores de compromiso (IoC), con opciones de filtrado intuitivas que facilitan su uso por parte de los administradores. Además, ESET Vulnerability & Patch Management ayuda a reducir la fatiga por alertas gracias a políticas de parches personalizables, priorización según nivel de gravedad, opciones de filtrado y una gestión centralizada.
Prepararse
Evitar que los ciberdelincuentes obtengan privilegios de administrador y la persistencia necesaria para introducir EDR killers es precisamente donde el enfoque preventivo y la seguridad en múltiples capas de ESET demuestran su valor.
Los EDR killers representan una amenaza seria, pero el abuso de controladores vulnerables como vector de ataque es una técnica conocida, y no se compara con un ataque de tipo zero-day que deja a las empresas completamente indefensas. Lo que hace que los controladores vulnerables sean un desafío es la atención constante que requieren por parte de los administradores y el nivel de sofisticación que deben tener las soluciones de ciberseguridad para tratarlos de forma efectiva.
Ataques como estos evidencian la importancia de contar con medidas preventivas basadas en una seguridad robusta. Esa seguridad no solo debe ser confiable, sino también simple, reduciendo la complejidad de la protección del sistema al mínimo necesario.