Vinculación entre grupos de ransomware: RansomHub, Play, Medusa y BianLian adoptan herramientas para desactivar EDR
Investigadores de ESET han descubierto una conexión operativa entre los grupos de ransomware RansomHub, Play, Medusa y BianLian. Este hallazgo destaca una tendencia creciente entre los actores de amenazas: la adopción de herramientas diseñadas para evadir o deshabilitar soluciones de Endpoint Detection and Response (EDR), lo que dificulta su detección y mitigación.
Herramientas “EDR-Killers” en auge
Los grupos de ransomware están integrando cada vez más utilidades especializadas para neutralizar las defensas EDR antes de ejecutar sus cargas maliciosas. Estas herramientas, conocidas como “EDR-Killers”, permiten a los atacantes:
- Terminar procesos asociados a soluciones de seguridad.
- Deshabilitar servicios críticos de monitoreo.
- Borrar logs y registros de actividad.
- Modificar configuraciones del sistema para evitar la detección.
Según el informe de ESET, esta táctica ha sido adoptada por múltiples grupos, incluyendo a RansomHub, que ha mostrado similitudes técnicas con las operaciones de Play, Medusa y BianLian.
Técnicas compartidas y conexiones operativas
El análisis revela patrones comunes en la infraestructura y herramientas utilizadas por estos grupos:
- Uso de scripts PowerShell y BAT personalizados para desactivar EDR.
- Implementación de técnicas “Living Off the Land” (LOTL) para camuflar actividades maliciosas.
- Empleo de cifrado doble (exfiltración + ransomware) para maximizar el impacto.
- Similitudes en los esquemas de comunicación C2 (Command and Control).
Estas coincidencias sugieren un posible intercambio de recursos, conocimientos o incluso la reutilización de código entre grupos, lo que representa un desafío adicional para los equipos de seguridad.
Implicaciones para la ciberseguridad
La adopción generalizada de herramientas anti-EDR obliga a replantear estrategias defensivas:
- Necesidad de implementar protección en capas (defensa en profundidad).
- Importancia de monitorear comportamientos anómalos, no solo firmas conocidas.
- Relevancia de soluciones XDR (Extended Detection and Response) para correlacionar eventos entre endpoints, red y nube.
- Mayor enfoque en la hardening de sistemas y restricción de privilegios.
Este fenómeno subraya la naturaleza evolutiva de las amenazas ransomware y la necesidad de adaptar continuamente las defensas. Organizaciones deben priorizar la visibilidad completa de sus entornos y capacidades de respuesta rápida ante incidentes.
Para más detalles sobre el informe original, consulta la Fuente original.
