Investigadores de Sophos reportan que múltiples familias de ransomware —incluyendo Blacksuit, Medusa, Qilin, DragonForce e INC— están compartiendo y adaptando un malware avanzado diseñado para desactivar soluciones de EDR (Endpoint Detection and Response) y antivirus. Esta herramienta, conocida como EDR Killer, permite a los atacantes operar sin ser detectados y aumentar la efectividad de los ataques de secuestro de datos.
Desde 2022, Sophos ha monitoreado un incremento en la sofisticación de este tipo de malware, motivado por la adopción creciente de soluciones de seguridad para endpoints. El EDR Killer está disponible en mercados clandestinos y reemplaza versiones anteriores utilizadas por ciberdelincuentes.
Principales características de la amenaza:
Capacidad de ataque amplia: apunta a productos de seguridad como Sophos, Bitdefender, Microsoft, McAfee y Webroot.
Ofuscación avanzada: frecuentemente empaquetado con HeartCrypt para evadir la detección.
Certificados comprometidos: utiliza controladores maliciosos firmados con certificados robados o caducados.
Intercambio criminal: hallado en ataques de grupos rivales, lo que indica colaboración o filtración de código.
Casos destacados
MedusaLocker explotó una vulnerabilidad de día cero en SimpleHelp para instalar el EDR Killer y desplegar ransomware rápidamente.
RansomHub e INC usaron versiones más sofisticadas con múltiples capas de empaquetado y cifrado, prolongando su permanencia indetectada en las redes atacadas.
Según Sophos, la disponibilidad y el uso compartido de estas herramientas aumenta la velocidad y efectividad de los ataques, reduciendo el tiempo de reacción de las organizaciones. Esto demuestra que el ecosistema del ransomware es más complejo que la simple competencia entre grupos, convirtiéndose en un desafío mayor para los defensores.
