Hackers Descubiertos Usando Herramientas de Seguridad Legítimas Durante Sus Ataques

Las bandas de ransomware han perfeccionado su habilidad para evitar la detección a través de los “matadores de EDR”, herramientas diseñadas para desactivar los sistemas de seguridad al principio de sus ataques.

The Register informa que los investigadores de Cisco Talos observaron que los grupos de ransomware lograron desactivar las protecciones de seguridad en casi la mitad de los casos examinados en 2024. A través de este método, los hackers permiten a otros hackers permanecer ocultos durante más tiempo mientras llevan a cabo el robo de datos, y distribuyen el ransomware de manera más efectiva.

Según Kendall McKay, líder estratégica en Talos, los atacantes implementan múltiples aniquiladores de EDR a lo largo de cada operación, según informó The Register. Los ciberdelincuentes utilizan

EDRSilencer y EDRSandblast y EDRKillShifter y herramientas Terminator para desactivar las defensas de seguridad.

The Register informa que algunos programas de ransomware, como EDRKillShifter, aprovechan las vulnerabilidades del controlador de Windows para cerrar aplicaciones de seguridad.

The Register explica que el malware apareció por primera vez con la banda de RansomHub en agosto de 2024, y desde entonces ha sido utilizado por otros grupos de ransomware, incluyendo Medusa, BianLian y Play.

“El objetivo suele ser el mismo: eliminar las protecciones de EDR, permitir que los criminales permanezcan sin detectar durante más tiempo en las redes comprometidas y luego ayudarles a robar datos sensibles y desplegar ransomware antes de ser descubiertos y expulsados”, dijo McKay, según informó The Register.

Este ataque complica la recuperación de los sistemas afectados. Como resultado, a veces las organizaciones necesitan borrar y reconstruir completamente sus redes.

El Register informa que no todos los asesinos de EDR son malware. La investigación realizada por Talos mostró que las bandas de ransomware a menudo llevan a cabo ataques utilizando herramientas legítimas.

Un ejemplo es HRSword, un producto comercial desarrollado por la empresa china Huorong Network Technology. Diseñado para monitorear la actividad del sistema, los hackers lo han reutilizado para desactivar el software de seguridad. “Es una herramienta comercial legítima, pero ahora los actores de amenazas la están cooptando para sus propios fines”, dijo McKay, según informó The Register.

Los atacantes explotan herramientas de seguridad que no fueron configuradas correctamente. Los productos de seguridad funcionan sin personalización en numerosas organizaciones, lo que genera riesgos de seguridad para sus sistemas, según The Register. Algunas organizaciones configuran sus herramientas de detección y respuesta de punto final en modo “solo auditoría”, lo que significa que se detectan amenazas pero no se bloquean.

“Esto fue quizás lo más preocupante para nosotras, porque es una fruta fácil de alcanzar y algo que las organizaciones pueden prevenir fácilmente”, señaló McKay, como informó The Register.