Las soluciones EDR (Endpoint Detection and Response) están en el punto de mira de los cibermalos. Conscientes de que son -en muchas ocasiones- la única puerta que les bloquea el paso a los sistemas informáticos, están en continua investigación, para ver cómo se saltan estas protecciones.
El grupo RansomHub (grupo muy probablemente sucesor del proyecto ransomware Knight) comenzó a utilizar nuevo software malicioso que desactiva las soluciones EDR en los dispositivos para eludir los mecanismos de seguridad y obtener control total sobre el sistema. La herramienta, llamada EDRKillShifter, fue descubierta por Sophos después de un ataque fallido en mayo de 2024.
EDRKillShifter es un programa de descarga que le permite realizar un ataque mediante su propio controlador vulnerable ( BYOVD ), de tal forma que utiliza un controlador legítimo .y por tanto transparente a los sistemas de seguridad- pero programado para permitir la escalabilidad de privilegios en el sistema, y así desactivar los controles de seguridad, hasta obtener el control total del sistema.
Sophos ha descubierto 2 muestras diferentes de EDRKillShifter, las cuales utilizan exploits PoC disponibles públicamente en GitHub. Una de las muestras explota el controlador vulnerable RentDrv2 y la otra explota el controlador ThreatFireMonitor, que es un componente de un paquete de monitoreo del sistema obsoleto. EDRKillShifter también es capaz de cargar diferentes controladores según las necesidades de los atacantes.
El proceso de ejecución de EDRKillShifter consta de tres pasos. Primero, el atacante ejecuta un archivo binario con una contraseña para descifrar y ejecutar el recurso BIN incrustado en la memoria. Luego, el código descomprime y ejecuta la carga útil final, que carga el controlador vulnerable para escalar privilegios, cerrar procesos activos y sistemas EDR.
El malware crea un nuevo servicio para el controlador, lo inicia y carga el controlador, y luego ingresa en un bucle sin fin, verificando continuamente los procesos en ejecución y finalizándolos si los nombres de los procesos coinciden con la lista cifrada de objetivos.
A pesar de -como decimos- los orígenes compartidos, es poco probable que los creadores de Knight estén operando ahora RansomHub. El código fuente de Knight (originalmente conocido como Cyclops) se puso a la venta en foros clandestinos en febrero de 2024 después de que los desarrolladores de Knight decidieran cerrar su operación. Es posible que otros actores hayan comprado el código fuente de Knight y lo hayan actualizado antes de lanzar RansomHub.
Comparación de RansomHub y Knight
Ambas cargas útiles están escritas en Go y la mayoría de las variantes de cada familia están ofuscadas con Gobfuscate . Solo algunas versiones anteriores de Knight no están ofuscadas.
El grado de superposición de códigos entre las dos familias es significativo, por lo que resulta muy difícil diferenciarlas. En muchos casos, solo se pudo confirmar una determinación consultando el enlace integrado al sitio de la fuga de datos.
Las dos familias tienen menús de ayuda prácticamente idénticos disponibles en la línea de comandos. La única diferencia es la incorporación de un comando de suspensión en RansomHub.
Y si necesitáis una auditoría de ciberseguridad y podemos seros útiles, estamos a vuestra disposición en nuestro correo [email protected]
Deja una respuesta