Varios grupos de cibercriminales están compartiendo y adaptando una herramienta avanzada capaz de desactivar soluciones de Endpoint Detection and Response (EDR) y antivirus. Su objetivo es vulnerar las redes de sus blancos para operar sin ser detectados y lanzar ciberataques más efectivos, según reportaron investigadores de Sophos. La herramienta es un asesino de EDR (EDR Killer) y marca un punto de inflexión en la evolución del cibercrimen. Su amenaza concierne a empresas en todas las verticales, entre ellas las dedicadas a la atención sanitaria.
Investigaciones recientes revelan que familias como Blacksuit, Medusa, Qilin, DragonForce, INC y RansomHub no sólo emplean este tipo de software: también lo intercambian entre sí o lo adquieren en mercados clandestinos. Esta colaboración criminal incrementa la efectividad de los ataques y reduce drásticamente el tiempo de reacción de las defensas.
Este asesino de EDR está diseñado para neutralizar defensas clave, especialmente de empresas. Para ello, desactiva procesos críticos como MsMpEng.exe, SophosHealth.exe, SAVService.exe y sophosui.exe. Además, evade la detección utilizando empaquetadores como HeartCrypt y controladores maliciosos firmados con certificados comprometidos o caducados. Su alcance es amplio: puede afectar soluciones de seguridad de proveedores como Sophos, Bitdefender, SentinelOne, Microsoft, McAfee, Webroot, entre otros. Las víctimas pueden encontrarse en organizaciones de todas las industrias, y por supuesto entre ellas podrían contarse las universidades.
Ataques elaborados
En varios incidentes, Sophos detectó que el asesino de EDR se activó en plena ejecución de ataques de ransomware, enfocados en secuestrar datos e información crítica, cuando ya estaba deshabilitando las protecciones del sistema.
Entre los incidentes más relevantes se encuentra el de MedusaLocker, que aprovechó una vulnerabilidad de día cero en SimpleHelp —herramienta de soporte y acceso remoto— para instalar el asesino de EDR y ejecutar ransomware de inmediato.
Por su parte, RansomHub e INC emplearon variantes más sofisticadas con múltiples capas de empaquetado y cifrado para evadir incluso las defensas más avanzadas. Eso prolongó su permanencia en los sistemas comprometidos y aumentó el daño potencial.
En México, 70% de las demandas de rescate por ataques de ransomware rondan el millón de dólares. Además, la recuperación tiene un costo promedio de 1.35 millones de dólares, de acuerdo con el más reporte de Estado del Ransomware en México.
Frenar al asesino de EDR
Algunas medidas de protección ante ciberataques son:
●Reducir las causas raíz de los ataques, tanto técnicas como operativas.
●Mantener una base sólida de seguridad. Los endpoints, incluidos los servidores, son los principales objetivos de los operadores de ransomware. Por ende, deben estar debidamente blindados, incluyendo protección específica antiransomware que detenga y revierta el cifrado malicioso.
●Mantener todo el software y herramientas de acceso remoto siempre actualizados y parchados, para cerrar posibles vectores de ataque.
●Bloquear controladores con certificados expirados, revocados o no confiables. También hay que monitorear cualquier finalización inusual de procesos de seguridad.
●Vigilar 24/7 es esencial. Si no se dispone de los recursos internos, conviene buscar un proveedor confiable de detección y respuesta gestionadas (MDR).
●Preparar con un plan de respuesta a incidentes bien definido y practicar regularmente la restauración de datos a partir de copias de seguridad de calidad.
●Entrenar a los equipos de TIC y ciberseguridad en la detección temprana de un asesino de EDR y otras amenazas críticas.
