ESET Research ha pubblicato la sua ultima analisi approfondita sull’ecosistema degli EDR killer, diventati ormai una componente fondamentale delle moderne intrusioni ransomware. Un aggressore acquisisce privilegi elevati, distribuisce un EDR Killer per neutralizzare le protezioni e solo successivamente lancia l’encryptor.

Oltre all’onnipresente tecnica Bring Your Own Vulnerable Driver (BYOVD), ESET osserva anche aggressori che abusano frequentemente di utility anti-rootkit legittime o utilizzano approcci driverless per bloccare la comunicazione del software di endpoint detection and response (EDR) o sospenderlo sul posto. Questi strumenti sfruttati non sono solo numerosi, ma si comportano anche in modo prevedibile e coerente.

“Concentrarsi sugli EDR killer commerciali (pubblicizzati sul dark web) ci consente di acquisire una migliore comprensione della loro base clienti e individuare affiliazioni altrimenti nascoste. Inoltre, il vibe coding sta rendendo le cose ancora più complicate” afferma Jakub Souček, ricercatore ESET che ha investigato gli EDR killer.

Per crittografare con successo i dati, gli encryptor ransomware devono eludere il rilevamento. Oggigiorno è disponibile un’ampia gamma di tecniche di evasione mature, che vanno dal packing e dalla virtualizzazione del codice a sofisticate tecniche di injection. Tuttavia, ESET raramente osserva l’implementazione di queste tecniche negli encryptor. Gli aggressori ransomware optano invece per gli EDR killer al fine di neutralizzare le soluzioni di sicurezza immediatamente prima della distribuzione dell’encryptor.

Al tempo stesso, gli EDR killer si affidano spesso a driver legittimi, seppur vulnerabili, rendendo la difesa significativamente più difficile senza rischiare di compromettere software legacy o enterprise. Il risultato è una classe di strumenti che offre un impatto a livello kernel con uno sforzo di sviluppo minimo, rendendo questi strumenti sproporzionatamente potenti proprio per la loro semplicità.

Crediti: Shutterstock

Crediti: Shutterstock

Per questo motivo ESET sottolinea che, sebbene impedire il caricamento di driver vulnerabili sia un passaggio cruciale nella linea di difesa, non si tratta di un’operazione semplice a causa di diverse tecniche di bypass esistenti. Ciò evidenzia perché non ci si dovrebbe affidare esclusivamente a tale misura, ma si dovrebbe puntare a neutralizzare gli EDR killer prima ancora che abbiano la possibilità di caricare il driver.

In effetti, gli EDR killer più semplici non si basano su driver vulnerabili o altre tecniche avanzate, ma sfruttano strumenti e comandi amministrativi integrati. Le tecniche BYOVD onnipresenti, affidabili e ampiamente utilizzate sono diventate il segno distintivo degli EDR killer moderni. In uno scenario tipico, un aggressore deposita un driver legittimo, ma vulnerabile, sulla macchina della vittima, installa il driver e quindi esegue malware che sfrutta la vulnerabilità del driver.

Accanto alla categoria BYOVD, l’analisi di ESET ha individuato approcci alternativi. Alcuni EDR killer adottano tecniche basate su script che sfruttano comandi amministrativi nativi di Windows come taskkill, net stop o sc delete per interferire con processi e servizi delle soluzioni di sicurezza. Varianti particolarmente aggressive combinano scripting con il riavvio forzato in Modalità Provvisoria, dove il sistema operativo carica solo componenti essenziali escludendo solitamente i software di protezione. Questo metodo però, sebbene efficace, risulta rischioso perché richiede un reboot del sistema, rendendolo poco affidabile in ambienti sconosciuti.

Una terza categoria comprende utility anti-rootkit legittime come GMER, HRSword e PC Hunter, strumenti dotati di interfacce intuitive originariamente pensate per amministratori di sistema ma riconvertite per terminare processi protetti. Emerge infine una classe emergente di EDR killer “driverless” come EDRSilencer ed EDR-Freeze, che bloccano il traffico in uscita delle soluzioni EDR inducendole in uno stato di inattività simile a un coma digitale.

L’intelligenza artificiale può infine essere considerata l’ultima arma nell’arsenale degli EDR killer. Determinare se l’IA abbia direttamente assistito nella produzione di una specifica codebase è spesso praticamente impossibile, ma i ricercatori di ESET ritengono che almeno alcuni EDR killer osservati di recente presentino caratteristiche fortemente indicative di una generazione assistita da IA.