Mergulhando no ecossistema em evolução dos assassinos de EDR pela ESET

Pesquisadores da ESET analisaram 90 assassinos de EDR ativamente usados — ferramentas que podem desativar soluções antivírus e EDR. Esses utilitários tornaram-se especialmente populares entre operadores de ransomware por uma razão simples: permitem-lhes evitar gastar recursos no desenvolvimento de mecanismos de evasão para cifradores.

Os desenvolvedores de ransomware não precisam mais investir seu esforço em sigilo, enquanto os afiliados ganham uma ferramenta simples e confiável que torna os ataques mais determinísticos: primeiro desativar as defesas, depois criptografar os dados. Como resultado, os cifradores carecem cada vez mais de recursos voltados para a prevenção de detecção, e técnicas avançadas de evasão estão concentradas nos assassinos de EDR.

A disseminação de assassinos de EDR comerciais reduziu a barreira de entrada para atores de ameaças e levantou a questão de como rastrear tais ataques. Especialistas alertam que, embora a maioria das ferramentas dependa de drivers vulneráveis, focar apenas neles é arriscado e pode levar à atribuição incorreta pelas seguintes razões:

🔻 Especificidades do modelo RaaS. Os operadores fornecem o ransomware e a infraestrutura, enquanto os afiliados escolhem seu próprio assassino de EDR, que não está diretamente ligado ao grupo RaaS. 🔻 Reutilização de drivers. O mesmo driver vulnerável pode ser usado por várias ferramentas derivadas de PoCs acessíveis publicamente. Além disso, as próprias ferramentas frequentemente alternam drivers explorados ao longo do tempo. 🔻 Diferentes técnicas usadas por assassinos de EDR. Seu arsenal se estende além dos métodos BYOVD: utilitários legítimos de anti-rootkit podem atuar como assassinos de EDR, e algumas ferramentas mais recentes não dependem mais da execução de código em nível de kernel, visando invece funções críticas específicas.

O uso de assassinos de EDR não é mais uma tática de nicho, mas uma etapa padrão antes de implantar cargas úteis maliciosas. No entanto, dados os fatores descritos acima, as medidas de defesa focadas apenas em bloquear drivers são consideradas insuficientes. Elas podem parar uma ferramenta específica, mas apenas na etapa final — quando o atacante já tem privilégios elevados e está a um passo de lançar o cifrador. Se isso falhar, outro assassino de EDR ou uma ferramenta não dependente de drivers vulneráveis pode ser usada. Como resultado, o foco defensivo deve mudar para estágios anteriores do comprometimento.

💬 Discutir