'Creado para perdurar toda la vida'

'Creado para perdurar toda la vida'

Cover Image for Cibercriminales desarrollan un nuevo malware capaz de eliminar por completo tu antivirus.

Cibercriminales desarrollan un nuevo malware capaz de eliminar por completo tu antivirus.

Expertos afirman que diversos actores de amenazas están utilizando EDRKillShifter.

Investigadores de seguridad han detectado el uso de un nuevo tipo de malware, diseñado específicamente para eliminar completamente cualquier programa antivirus que pueda estar instalado en los equipos de las víctimas, así como para infectarlos con ransomware. Este nueva herramienta, conocida como EDRKillShifter, ha sido reportada por expertos de Sophos y se utiliza para desactivar sistemas de Detección y Respuesta en Puntos Finales (EDR).

Se ha observado que un grupo de ransomware denominado RansomHub ha empleado EDRKillShifter, aunque Sophos sugiere "con moderada confianza" que esta herramienta puede estar en manos de varios atacantes. Esto podría indicar que fue desarrollada por un tercero, quien posiblemente la haya puesto a la venta o alquiler en la dark web.

En un análisis realizado por Sophos, se destacó que el grupo intentó usar EDRKillShifter para cerrar la protección de Sophos en el ordenador objetivo, pero la herramienta no logró su cometido. Como consecuencia, el proceso de cifrado fracasó y el intento fue abandonado.

Sophos describe a EDRKillShifter como un cargador que introduce un controlador legítimo pero vulnerable. Este tipo de ataques, conocidos como "Bring Your Own Vulnerable Driver", no son novedosos, ya que se han presentado durante años. En este tipo de ataques, los delincuentes instalan una versión antigua de un controlador en la máquina objetivo, que el sistema operativo acepta. Luego, explotan las vulnerabilidades de ese controlador para desplegar malware. EDRKillShifter es capaz de entregar diferentes cargas útiles de controladores según las necesidades del atacante.

Para protegerse contra esta amenaza, Sophos recomienda que los usuarios verifiquen si sus productos de seguridad en los puntos finales implementan y habilitan la protección contra manipulaciones. Además, se aconseja a las empresas mantener buenas prácticas de seguridad en los roles de Windows, dado que el ataque solo puede llevarse a cabo si el atacante logra escalar privilegios o obtener derechos de administrador. Por último, es fundamental que las empresas mantengan sus sistemas actualizados, dado que Microsoft ha comenzado a des-certificar controladores firmados antiguos.

  • malware
  • ransomware
  • ciberseguridad
Hackers de LockBit afirman haber vulnerado la Reserva Federal de los Estados Unidos
SEGURIDAD INFORMÁTICA, CIBERDELINCUENTES, RANSOMWARE
|