Los actores del ransomware amplían las tácticas asesinas de EDR más allá de los controladores vulnerables

Los atacantes de ransomware han ampliado su enfoque para derrotar la seguridad de los terminales, yendo mucho más allá de la técnica de explotar los controladores vulnerables. Durante años, el método Bring Your Own Vulnerable Driver (BYOVD) fue la principal forma en que los atacantes desactivaban las herramientas de seguridad antes de lanzar sus cargas útiles de cifrado de archivos.

Hoy en día, ese panorama se ha vuelto mucho más complejo, y los actores de amenazas ahora implementan herramientas basadas en scripts, hacen un mal uso de software anti-rootkit legítimo y utilizan métodos totalmente sin controladores para silenciar los productos de seguridad antes de que comience el cifrado. En lugar de intentar hacer que los cifradores sean invisibles para el software de seguridad (una tarea difícil y que requiere mucho tiempo), los atacantes prefieren destruir la protección de seguridad directamente. Esto hace que los EDR Killers, herramientas diseñadas específicamente para desactivar el software de respuesta y detección de endpoints, sean una parte central de casi todos los ataques de ransomware modernos. De ellas, 54 son herramientas basadas en BYOVD que abusan de 35 controladores vulnerables distintos, mientras que 7 están basadas en scripts y 15 abusan de anti-rootkit legítimos o de software disponible gratuitamente.

Los atacantes invierten su sofisticación técnica aquí en lugar de en los propios cifradores, porque alterar directamente el software de seguridad es más simple y confiable que hacer que una payload sea indetectable. La publicación Los actores del ransomware amplían las tácticas asesinas de EDR más allá de los controladores vulnerables apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗