Hace unos días nos enteramos de que unos hábiles ciberdelincuentes han lanzado una nueva y devastadora herramienta que podría dejar tus defensas cibernéticas completamente expuestas. Se trata de EDRKillShifter, un malware diseñado para eliminar cualquier antivirus que tengas instalado en tu dispositivo y abrir la puerta al temido ransomware.
Investigadores de Sophos, una de las firmas de
seguridad más reconocidas a nivel mundial, han descubierto esta amenaza
emergente que está siendo utilizada por un grupo de ransomware conocido como
RansomHub. Sin embargo, la pesadilla no termina ahí. Sophos advierte que, con
una "confianza moderada", es probable que EDRKillShifter esté siendo
utilizado por múltiples grupos de atacantes, lo que sugiere que esta poderosa
herramienta podría estar disponible en la dark web para cualquiera con
intenciones maliciosas y unos cuantos bitcoins.
Un arma letal en manos de los peores ciberdelincuentes
EDRKillShifter no es cualquier malware. Según el
análisis de Sophos, se trata de un cargador que introduce un controlador
legítimo, pero vulnerable, en el sistema de la víctima. Esta técnica, conocida
como "Bring Your Own Vulnerable Driver" (BYOVD), no es nueva, pero
sigue siendo extremadamente efectiva. Los atacantes colocan una versión antigua
de un controlador que el sistema operativo acepta sin sospechas. Una vez
dentro, explotan las vulnerabilidades de ese controlador para desplegar su verdadero
objetivo: el malware.
Lo más alarmante de esta nueva herramienta es su
capacidad para desactivar las soluciones de Endpoint Detection and Response
(EDR), que son la primera línea de defensa de muchos sistemas contra
ataques sofisticados. Sin un EDR en funcionamiento, los dispositivos quedan
indefensos, y es entonces cuando el ransomware entra en acción, bloqueando
todos los archivos y exigiendo un rescate.
El fracaso que reveló la amenaza
En el caso analizado por Sophos, los ciberdelincuentes
intentaron utilizar EDRKillShifter para desactivar la protección de Sophos en
una máquina objetivo. Afortunadamente, la herramienta falló, y el ataque fue
abandonado antes de que el ransomware pudiera desplegarse. Sin embargo, este
incidente no hace más que demostrar el peligro real y presente que representa
EDRKillShifter. Si bien Sophos pudo resistir el ataque, no todos los sistemas
podrían tener la misma suerte.
¿Estamos preparados para enfrentar esta amenaza?
La comunidad de seguridad cibernética está en alerta.
Sophos insta a los usuarios y empresas a reforzar sus defensas verificando que
sus productos de seguridad endpoint tengan activada la protección contra
manipulaciones. Además, subraya la importancia de mantener una "higiene fuerte" en los roles de seguridad de Windows y de actualizar
constantemente los sistemas, especialmente ahora que Microsoft ha comenzado a
descertificar controladores antiguos.
EDRKillShifter es solo un ejemplo más de cómo los
ciberdelincuentes continúan evolucionando sus tácticas para burlar nuestras
defensas. El fracaso de un ataque es solo un respiro temporal; la próxima vez,
podrían tener éxito. La pregunta ahora es: ¿Estamos preparados para lo que
viene?
Este es el momento de tomar acción, antes de que
EDRKillShifter o su sucesor encuentren su camino hacia tu dispositivo.