54 herramientas EDR Killer abusan de controladores vulnerables

Introducción

Recientemente, un análisis ha revelado que 54 herramientas conocidas como EDR Killers están utilizando una técnica llamada BYOVD (Bring Your Own Vulnerable Driver) para explotar 34 controladores firmados y vulnerables. Este tipo de ataques representa un grave riesgo para la ciberseguridad, especialmente en el contexto de redes corporativas y sistemas críticos.

¿Qué sucedió?

Según un informe de ESET compartido con The Hacker News, los atacantes han descubierto maneras de neutralizar el software de seguridad antes de desplegar malware de cifrado de archivos. Los EDR Killers utilizan controladores legítimos pero vulnerables para obtener privilegios elevados y desactivar las medidas de defensa de los sistemas afectados.

Impacto y Riesgo

El uso de la técnica BYOVD permite a los atacantes obtener acceso a nivel del kernel, conocido como Ring 0, donde pueden terminar procesos de EDR sin obstáculos y poner en riesgo la integridad de la red. Esto aumenta significativamente la tasa de éxito de los ataques de ransomware, ya que los atacantes pueden operar sin ser detectados durante el cifrado de archivos.

Recomendaciones

• Realizar auditorías periódicas de los controladores instalados en los sistemas.
• Implementar tecnologías de detección y respuesta que identifiquen comportamientos sospechosos.
• Actualizar regularmente los controladores para eliminar vulnerabilidades conocidas.
• Capacitar al personal en la identificación de correos electrónicos y sitios web maliciosos.

Conclusión

La existencia de 54 EDR Killers que abusan de drivers vulnerables es una llamada de atención para empresas de todos los tamaños. La implementación de buenas prácticas de ciberseguridad y actualizaciones constantes es crucial para protegerse contra esta amenaza creciente y asegurar la protección de datos y sistemas críticos.