Riesgo crítico: 54 herramientas EDR desactivan seguridad usando BYOVD
Publicado el
Análisis de EDR Killers y su impacto en la seguridad
Recientes investigaciones han identificado que un total de 54 herramientas de EDR emplean una técnica conocida como Bring Your Own Vulnerable Driver (BYOVD), aprovechándose de 34 controladores vulnerables. Estas herramientas, comúnmente utilizadas en intrusiones de ransomware, permiten a los atacantes neutralizar el software de seguridad antes de implementar malware que cifra archivos, lo que complica la detección por parte de las soluciones de ciberseguridad.
Según el investigador de ESET, Jakub Souček, los grupos de ransomware, especialmente aquellos que operan bajo el modelo ransomware-as-a-service (RaaS), generan nuevas versiones de sus encryptors con frecuencia. Garantizar que estas versiones no sean detectadas puede ser una tarea ardua, dado que los encryptors suelen generar un alto nivel de actividad en el sistema, modificando numerosos archivos en poco tiempo.
Los EDR killers actúan como componentes externos diseñados para desactivar controles de seguridad antes de que se ejecuten los lockers. Esto les permite ser más simples y estables, facilitando su reconstrucción. Sin embargo, hay casos en los que módulos de terminación de EDR y de ransomware se han combinado en un único binario, como es el caso del ransomware Reynolds.
Método BYOVD y sus implicaciones
La mayoría de los EDR killers se basan en controladores legítimos, aunque vulnerables, para obtener privilegios elevados y ejecutar sus objetivos. De las cerca de 90 herramientas EDR detectadas por la empresa de ciberseguridad eslovaca, más de la mitad utiliza la táctica BYOVD, que se considera fiable. La finalidad de un ataque BYOVD es obtener privilegios en modo kernel, también conocidos como Ring 0, lo que otorga acceso irrestricto a la memoria del sistema y al hardware. Dado que un atacante no puede cargar un controlador malicioso no firmado,