Ciberdelincuentes readaptan la herramienta EDRKillShifter de RansomHub para ataques de Medusa, BianLian y Play.
Publicado enAtaques

Ciberdelincuentes readaptan la herramienta EDRKillShifter de RansomHub para ataques de Medusa, BianLian y Play.

No hay comentarios

“`html

Conexiones entre RansomHub y otros grupos de ransomware: Análisis técnico de herramientas EDRKillShifter

Un reciente análisis ha revelado conexiones entre los afiliados del grupo de ransomware RansomHub y otras organizaciones maliciosas como Medusa, BianLian y Play. Estas relaciones se basan en el uso compartido de una herramienta personalizada diseñada para desactivar soluciones de Endpoint Detection and Response (EDR) en sistemas comprometidos. Según ESET, esta herramienta, denominada EDRKillShifter, fue inicialmente documentada en operaciones vinculadas a RansomHub.

Funcionamiento técnico de EDRKillShifter

EDRKillShifter es una utilidad avanzada que permite a los actores de ransomware evadir mecanismos de seguridad mediante técnicas específicas:

  • Inyección de procesos: Utiliza APIs de Windows para inyectar código malicioso en procesos legítimos.
  • Deshabilitación de servicios EDR/AV: Modifica registros del sistema o utiliza comandos para detener servicios críticos de seguridad.
  • Bypass de hooks: Evade los hooks de funciones utilizados por soluciones EDR para monitorizar actividades sospechosas.

Implicaciones para la ciberseguridad

El uso compartido de herramientas como EDRKillShifter entre múltiples grupos de ransomware sugiere un ecosistema colaborativo donde:

  • Los afiliados intercambian recursos técnicos para mejorar la efectividad de sus ataques.
  • Las tácticas, técnicas y procedimientos (TTPs) se estandarizan entre grupos distintos.
  • Las defensas tradicionales basadas en EDR pueden verse comprometidas si no se actualizan continuamente.

Recomendaciones de mitigación

Para contrarrestar amenazas como EDRKillShifter, las organizaciones deben implementar estrategias multicapa:

  • Hardening de endpoints: Restringir permisos y utilizar políticas de ejecución estrictas.
  • Monitoreo avanzado: Implementar soluciones XDR (Extended Detection and Response) para correlacionar eventos entre diferentes capas de seguridad.
  • Actualizaciones constantes: Mantener parches de seguridad y firmas de amenazas al día.

Este análisis destaca la importancia de entender las herramientas compartidas entre grupos de ransomware para desarrollar defensas más robustas. Para más detalles, consulta la Fuente original.

“`

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta