¡Tu antivirus está en peligro! – Este malware puede desactivarlo al instante

Hace unos días nos enteramos de que unos hábiles ciberdelincuentes han lanzado una nueva y devastadora herramienta que podría dejar tus defensas cibernéticas completamente expuestas. Se trata de EDRKillShifter, un malware diseñado para eliminar cualquier antivirus que tengas instalado en tu dispositivo y abrir la puerta al temido ransomware.

Investigadores de Sophos, una de las firmas de seguridad más reconocidas a nivel mundial, han descubierto esta amenaza emergente que está siendo utilizada por un grupo de ransomware conocido como RansomHub. Sin embargo, la pesadilla no termina ahí. Sophos advierte que, con una "confianza moderada", es probable que EDRKillShifter esté siendo utilizado por múltiples grupos de atacantes, lo que sugiere que esta poderosa herramienta podría estar disponible en la dark web para cualquiera con intenciones maliciosas y unos cuantos bitcoins.

EDRKillShifter malware muy peligroso

Un arma letal en manos de los peores ciberdelincuentes

EDRKillShifter no es cualquier malware. Según el análisis de Sophos, se trata de un cargador que introduce un controlador legítimo, pero vulnerable, en el sistema de la víctima. Esta técnica, conocida como "Bring Your Own Vulnerable Driver" (BYOVD), no es nueva, pero sigue siendo extremadamente efectiva. Los atacantes colocan una versión antigua de un controlador que el sistema operativo acepta sin sospechas. Una vez dentro, explotan las vulnerabilidades de ese controlador para desplegar su verdadero objetivo: el malware.

Lo más alarmante de esta nueva herramienta es su capacidad para desactivar las soluciones de Endpoint Detection and Response (EDR), que son la primera línea de defensa de muchos sistemas contra ataques sofisticados. Sin un EDR en funcionamiento, los dispositivos quedan indefensos, y es entonces cuando el ransomware entra en acción, bloqueando todos los archivos y exigiendo un rescate.

El fracaso que reveló la amenaza

En el caso analizado por Sophos, los ciberdelincuentes intentaron utilizar EDRKillShifter para desactivar la protección de Sophos en una máquina objetivo. Afortunadamente, la herramienta falló, y el ataque fue abandonado antes de que el ransomware pudiera desplegarse. Sin embargo, este incidente no hace más que demostrar el peligro real y presente que representa EDRKillShifter. Si bien Sophos pudo resistir el ataque, no todos los sistemas podrían tener la misma suerte.

¿Estamos preparados para enfrentar esta amenaza?

La comunidad de seguridad cibernética está en alerta. Sophos insta a los usuarios y empresas a reforzar sus defensas verificando que sus productos de seguridad endpoint tengan activada la protección contra manipulaciones. Además, subraya la importancia de mantener una "higiene fuerte" en los roles de seguridad de Windows y de actualizar constantemente los sistemas, especialmente ahora que Microsoft ha comenzado a descertificar controladores antiguos.

EDRKillShifter es solo un ejemplo más de cómo los ciberdelincuentes continúan evolucionando sus tácticas para burlar nuestras defensas. El fracaso de un ataque es solo un respiro temporal; la próxima vez, podrían tener éxito. La pregunta ahora es: ¿Estamos preparados para lo que viene?

Este es el momento de tomar acción, antes de que EDRKillShifter o su sucesor encuentren su camino hacia tu dispositivo.

Las 10 mejores herramientas anti-ransomware

Tu opinión es importante para mí, porque me ayuda a mejorar. Si te gustó el articulo o tienes alguna sugerencia, déjame tu comentario con tu nombre para poder responderte tan pronto como pueda.

Publicar un comentario (0)
Artículo Anterior Siguiente Artículo