Il panorama delle minacce informatiche sta vivendo una nuova fase di evoluzione e non è una buona notizia per le aziende. Almeno una dozzina di gruppi ransomware ha incorporato nei propri arsenali strumenti capaci di disabilitare i sistemi di sicurezza a livello kernel, i cosiddetti EDR killers. Queste tecniche consentono di aggirare quasi tutti i principali strumenti di endpoint detection and response (EDR) presenti sul mercato, ottenere privilegi elevati sui sistemi compromessi e portare a termine le fasi più critiche dell’attacco: esfiltrazione, cifratura dei dati e successiva estorsione.

Crypto24 e il RealBlindingEDR

Uno degli esempi più recenti riguarda Crypto24, una nuova variante ransomware che da aprile ha colpito quasi due dozzine di aziende negli Stati Uniti, in Europa e in Asia, secondo quanto riportato sul sito di leak gestito dai criminali stessi. Gli obiettivi appartengono a settori ad alto valore come finanza, manifattura, intrattenimento e tecnologia.

Gli analisti di Trend Micro hanno osservato che, dopo aver ottenuto l’accesso iniziale alle infrastrutture, gli operatori di Crypto24 ricorrono a una versione modificata di RealBlindingEDR, strumento open source originariamente pensato per disabilitare i prodotti EDR. La variante sviluppata dai criminali è in grado di individuare e neutralizzare i kernel hook di ben 28 vendor di sicurezza, tra cui nomi di primo piano come Sophos, Kaspersky, Bitdefender, Broadcom/Symantec, SentinelOne, Cisco, Fortinet e Citrix.

Il meccanismo è relativamente semplice ma estremamente efficace. Il tool analizza i metadati dei driver installati, confronta i nomi dei produttori con una lista predefinita e, in caso di corrispondenza, procede a disabilitare le funzioni di monitoraggio, rendendo gli EDR sostanzialmente inutili.

Trend Micro ha documentato anche un abuso di gpscript.exe, un legittimo strumento di Group Policy utilizzato dagli attaccanti per eseguire da remoto l’uninstaller di Trend Vision One. Quest’ultimo è un tool legittimo di troubleshooting, ma in mano ai criminali diventa un’arma per rimuovere la protezione. È importante notare, tuttavia, che l’abuso è possibile solo dopo aver ottenuto privilegi amministrativi: non si tratta quindi di un vettore di infezione iniziale, bensì di un’azione successiva alla compromissione.

RansomHub e l’evoluzione di EDRKillShifter

Crypto24 non è un caso isolato. Secondo Sophos, almeno altri otto gruppi ransomware (tra cui Blacksuit, RansomHub, Medusa, Qilin, Dragonforce, Crytox, Lynx e INC) adottano la stessa strategia: neutralizzare le difese prima di eseguire la cifratura.

attacchi PA

Crediti: Shutterstock

Molti di questi attori utilizzano versioni aggiornate di EDRKillShifter, strumento apparso per la prima volta nell’agosto 2024 con il gruppo RansomHub. Questo tool sfrutta driver legittimi ma vulnerabili sui sistemi Windows per terminare i processi degli EDR, una tecnica nota come Bring Your Own Vulnerable Driver (BYOVD). Successivamente, è stato riutilizzato da altre gang come Medusa, BianLian e Play, ognuna con una propria variante.

Gli analisti Gabor Szappanos e Steeve Gaudreault di Sophos hanno spiegato che non si tratta di un singolo file eseguibile trapelato e condiviso tra cybercriminali, ma di diverse build di uno strumento proprietario, tutte basate sullo stesso concetto: caricare un driver vulnerabile firmato con certificato compromesso, sfruttarlo per ottenere privilegi a livello kernel e, quindi, disabilitare i meccanismi di difesa.

Le conseguenze sono pesanti. Una volta ottenuto l’accesso al kernel, gli attaccanti possono infatti non solo disabilitare gli EDR, ma anche muoversi lateralmente nella rete, distribuire il ransomware su più macchine, rubare dati e persino installare backdoor persistenti senza essere rilevati.

Il rischio oltre l’endpoint: i movimenti laterali

La discussione pubblica si concentra spesso sulla capacità di questi EDR killers di eludere i sistemi di protezione degli endpoint. Tuttavia, come sottolinea Benson George, senior principal product marketing manager di Aviatrix, questo è solo metà del problema. Una volta dentro, gli attaccanti possono infatti approfittare della connettività cloud e dei canali poco monitorati tra VPC, cluster Kubernetes e API per muoversi indisturbati.

Significa che disabilitare la protezione di un solo endpoint può aprire la strada a un attacco su vasta scala, sfruttando percorsi di comunicazione raramente sorvegliati. Da qui la necessità, evidenziata dagli esperti, di predisporre controlli difensivi indipendenti dall’endpoint, capaci di funzionare anche in assenza di telemetria locale. Un aspetto ancor più preoccupante è che non tutti gli EDR killers sono malware sviluppati ad hoc. Alcuni gruppi sfruttano strumenti legittimi nati per scopi amministrativi come nel caso di HRSword, software commerciale individuato da Cisco Talos in diversi incidenti ransomware.

Come già accaduto in passato con framework come Cobalt Strike, pensato per i penetration test ma ampiamente abusato dai criminali, anche HRSword viene cooptato per disabilitare i sistemi di protezione. L’uso di strumenti autentici rappresenta un ulteriore vantaggio per gli attaccanti, perché riduce la probabilità di rilevamento da parte dei software di sicurezza, i quali tendono a considerare affidabili programmi firmati e legittimi.

Tutto ciò significa che per le aziende non è più sufficiente fare affidamento sugli EDR come unica linea difensiva. Servono anche strategie multilivello che includano controlli a livello di rete, monitoraggio dei flussi cloud, segmentazione rigorosa e capacità di risposta rapida anche in scenari in cui la telemetria degli endpoint venga meno.