Múltiples grupos de ransomware están compartiendo y adaptando una herramienta avanzada capaz de desactivar soluciones de Endpoint Detection and Response (EDR) y antivirus. Ello les permite operar sin ser detectados y lanzar ciberataques con mayor efectividad, según reportaron investigadores de Sophos. La herramienta, identificada como EDR Killer, marca un punto de inflexión en la evolución del cibercrimen. Su amenaza concierne a empresas en todas las verticales, entre ellas la educación superior.
Investigaciones recientes revelan que familias como Blacksuit, Medusa, Qilin, DragonForce, INC y RansomHub no sólo emplean este software: también lo intercambian entre sí o lo adquieren en mercados clandestinos. Esta colaboración criminal incrementa la efectividad de los ataques y reduce drásticamente el tiempo de reacción de las defensas.
El software EDR Killer está diseñado para neutralizar defensas clave, especialmente de empresas. Para ello, desactiva procesos críticos como MsMpEng.exe, SophosHealth.exe, SAVService.exe y sophosui.exe. Además, evade la detección utilizando empaquetadores como HeartCrypt y controladores maliciosos firmados con certificados comprometidos o caducados. Su alcance es amplio: puede afectar soluciones de seguridad de proveedores como Sophos, Bitdefender, SentinelOne, Microsoft, McAfee, Webroot, entre otros. Las víctimas pueden encontrarse en organizaciones de todas las industrias, y por supuesto entre ellas podrían contarse las universidades.
Ataques complejos
En varios incidentes, Sophos detectó que el EDR Killer se activó en plena ejecución de ataques de ransomware, enfocados en secuestrar datos e información crítica, cuando ya estaba deshabilitando las protecciones del sistema.
Entre los incidentes más relevantes se encuentra el de MedusaLocker, que aprovechó una vulnerabilidad de día cero en SimpleHelp —herramienta de soporte y acceso remoto— para instalar el EDR Killer y ejecutar ransomware de inmediato.
Por su parte, RansomHub e INC emplearon variantes más sofisticadas con múltiples capas de empaquetado y cifrado para evadir incluso las defensas más avanzadas. Eso prolongó su permanencia en los sistemas comprometidos y aumentó el daño potencial.
En México, 70% de las demandas de rescate por ataques de ransomware rondan el millón de dólares. Además, la recuperación tiene un costo promedio de 1.35 millones de dólares, de acuerdo con el más reporte de Estado del Ransomware en México.
Protegerse de EDR Killer
Algunas medidas de protección ante ciberataques son:
●Reducir las causas raíz de los ataques, tanto técnicas como operativas.
●Mantener una base sólida de seguridad. Los endpoints, incluidos los servidores, son los principales objetivos de los operadores de ransomware. Por ende, deben estar debidamente blindados, incluyendo protección específica antiransomware que detenga y revierta el cifrado malicioso.
●Mantener todo el software y herramientas de acceso remoto siempre actualizados y parchados, para cerrar posibles vectores de ataque.
●Bloquear controladores con certificados expirados, revocados o no confiables. También hay que monitorear cualquier finalización inusual de procesos de seguridad.
●Vigilar 24/7 es esencial. Si no se dispone de los recursos internos, conviene buscar un proveedor confiable de detección y respuesta gestionadas (MDR).
●Preparar con un plan de respuesta a incidentes bien definido y practicar regularmente la restauración de datos a partir de copias de seguridad de calidad.
●Entrenar a los equipos de TIC y ciberseguridad en la detección temprana de EDR Killer y otras amenazas críticas.
