Análisis de Sophos expone tácticas ocultas y fortalece la lucha global contra el cibercrimen

Múltiples familias de ransomware —incluyendo Blacksuit, Medusa, Qilin, DragonForce, INC, entre
otras— están compartiendo y adaptando una herramienta avanzada diseñada para desactivar
soluciones de EDR (Endpoint Detection and Response) y antivirus, lo que permite a los atacantes
operar sin ser detectados y lanzar ransomware con mayor efectividad, según reportaron
investigadores de Sophos.
El hallazgo revela que esta herramienta, un tipo de “EDR Killer” o malware diseñado para
desactivar los sistemas EDR, ha dejado obsoletas versiones anteriores utilizadas por los
ciberdelincuentes y está disponible también en mercados clandestinos. Desde 2022, Sophos ha
monitoreado un aumento en la sofisticación de este tipo de malware, impulsado por la creciente
adopción de soluciones de seguridad para endpoints.
Características de la amenaza
 Capacidad de ataque amplia: el EDR Killer puede apuntar a productos de todo el
ecosistema de ciberseguridad, incluyendo Sophos, Bitdefender, SentinelOne, Microsoft,
McAfee y Webroot, entre otros.
 Ofuscación avanzada: el malware es frecuentemente empaquetado con HeartCrypt para
evadir la detección.
 Certificados comprometidos: en algunos casos, utiliza controladores maliciosos firmados
con certificados robados o caducados.
 Intercambio criminal: la misma herramienta ha sido encontrada en ataques perpetrados
por grupos rivales, lo que sugiere colaboración o filtraciones de código.
Casos destacados
Entre los casos documentados, destaca el de MedusaLocker, que aprovechó una vulnerabilidad de
día cero en la herramienta de soporte remoto SimpleHelp para instalar el EDR Killer y, de forma
inmediata, desplegar el ransomware en los sistemas comprometidos. De manera similar,
RansomHub e INC utilizaron versiones más sofisticadas de esta herramienta, incorporando
múltiples capas de empaquetado y cifrado con el fin de evadir las defensas avanzadas y prolongar
el tiempo que permanecían indetectados dentro de las redes atacadas.
Según los expertos de Sophos, la disponibilidad y el uso compartido de este tipo de herramientas
incrementa la velocidad y efectividad de los ataques, acortando el tiempo de reacción de las
organizaciones y sugiere que el ecosistema del ransomware es más complicado que una simple
serie de grupos de ransomware que compiten y luchan entre sí, lo que supone un quebradero de
cabeza más para los defensores.
Consulta la investigación completa en Shared secret: EDR killer in the kill chain