Un grupo de ciberdelincuentes vinculado al ransomware RansomHub ha sido visto utilizando una nueva herramienta diseñada para eliminar software de detección y respuesta de terminales (EDR) en hosts comprometidos, uniéndose a otros programas similares como AuKill (también conocido como AvNeutralizer) y Terminator.
La utilidad EDRKillShifter ha sido denominada así por la empresa de ciberseguridad Sophos, que descubrió la herramienta en relación con un ataque de ransomware fallido en mayo de 2024.
«Andreas Klopsch, investigador de seguridad, dijo: «La herramienta EDRKillShifter es un ejecutable ‘loader’, un mecanismo de entrega para un controlador legítimo que es vulnerable a abusos (también conocido como una herramienta ‘bring your own vulnerable driver’ o BYOVD)«. «Dependiendo de los requisitos del actor de amenazas, puede entregar una variedad de controladores diferentes«.
RansomHub, una presunta rebranding del ransomware Knight, surgió en febrero de 2024, aprovechando fallas de seguridad conocidas para obtener acceso inicial y dejar software legítimo de escritorio remoto como Atera y Splashtop para un acceso persistente.
El mes pasado, Microsoft reveló que el notorio sindicato del cibercrimen conocido como Scattered Spider ha incorporado cepas de ransomware como RansomHub y Qilin a su arsenal.
Ejecutado a través de la línea de comandos junto con una cadena de contraseña de entrada, el ejecutable desencripta un recurso incrustado llamado BIN y lo ejecuta en memoria. El recurso BIN desempaqueta y ejecuta una carga final obfuscada basada en Go, que luego aprovecha diferentes controladores legítimos vulnerables para obtener privilegios elevados y desarmar el software EDR.
«La propiedad del idioma del binario es rusa, lo que indica que el autor del malware compiló el ejecutable en un ordenador con ajustes de localización rusa», dijo Klopsch. «Todos los EDR killers desempaquetados incrustan un controlador vulnerable en la sección .data».
Para mitigar la amenaza, se recomienda mantener los sistemas actualizados, habilitar la protección contra manipulaciones en el software EDR y practicar una higiene sólida en los roles de seguridad de Windows.
«Este ataque solo es posible si el atacante escala los privilegios que controla, o si puede obtener derechos de administrador», dijo Klopsch. «La separación entre los privilegios de usuario y administrador puede ayudar a prevenir que los atacantes carguen controladores fácilmente».
El desarrollo surge a medida que se ha observado que los actores de amenazas entregan un nuevo malware sigiloso llamado SbaProxy modificando binarios legítimos de antivirus de BitDefender, Malwarebytes y Sophos, y firmando los archivos nuevamente con certificados falsos para establecer conexiones proxy a través de un servidor de comando y control (C2) como parte de una campaña en curso.
SbaProxy está diseñado para establecer una conexión de proxy entre el cliente y el objetivo de manera que enrutará el tráfico a través del servidor C2 y la máquina infectada. El malware solo admite conexiones TCP.
«Esta amenaza tiene un impacto significativo, ya que puede utilizarse para crear servicios de proxy que faciliten actividades maliciosas y potencialmente ser vendido con fines de lucro», dijo AT&T LevelBlue Labs. «Esta herramienta, distribuida en varios formatos como DLL, EXE y scripts de PowerShell, es difícil de detectar debido a su diseño sofisticado y apariencia legítima«.
Vía The Hacker News
