Secondo un’analisi di ESET , gli EDR killers sono centrali nelle attuali intrusioni ransomware e gli affiliati preferiscono una finestra temporale breve per eseguire programmi di crittografia. I ricercatori ESET ritengono inoltre che almeno alcuni EDR killers osservati di recente presentino caratteristiche che suggeriscono una generazione assistita dall’AI. la ricerca, basata sulla telemetria di ESET e sulle indagini sugli incidenti, si fonda su analisi e monitoraggio di quasi 90 EDR killers attivi in circolazione.
Come si comportano gli EDR killers
Negli ultimi anni, gli EDR killers sono diventati uno degli strumenti più diffusi nelle intrusioni ransomware. Un aggressore ottiene privilegi elevati, impiega uno di questi strumenti per eludere i sistemi di protezione e solo allora avvia il programma di crittografia. Oltre alla tecnica Bring Your Own Vulnerable Driver (BYOVD), ESET osserva che gli aggressori usano frequentemente utility anti-rootkit legittime. O utilizzano approcci senza driver per bloccare la comunicazione del software di rilevamento e risposta degli endpoint (EDR) o per metterlo in pausa. Questi strumenti compromessi non solo sono numerosi, ma si comportano anche in modo prevedibile e coerente.
Bacino d’utenza e affiliazioni nascoste
Jakub Souček, researcher di ESET, che ha analizzato gli EDR killers Il contesto delineato dalla ricerca è vastissimo. Infatti spazia da infinite ramificazioni di proof of concept a complesse implementazioni professionali. Concentrarci sugli EDR killers disponibili e pubblicizzati sul dark web, ci permette di comprendere meglio il bacino di utenza e individuare affiliazioni altrimenti nascoste. Gli EDR killers sviluppati internamente offrono una visione approfondita del funzionamento interno delle comunità ristrette. Inoltre, il vibe coding sta rendendo le cose ancora più complicate.
Gli EDR killers semplici ma molto potenti
Per poter crittografare i dati con successo, i programmi di ransomware devono eludere il rilevamento. Oggi esiste un’ampia gamma di tecniche di elusione consolidate, che vanno dal packing e dalla virtualizzazione del codice fino a sofisticate tecniche di injection. Tuttavia, ESET rileva raramente l’implementazione di tali tecniche nei programmi di crittografia. Gli autori degli attacchi ransomware optano invece per gli EDR killers per compromettere le misure di sicurezza prima dell’esecuzione del programma di crittografia. Allo stesso tempo, gli EDR killers spesso si basano su driver legittimi, ma vulnerabili.
Come difendersi
Rendendo la difesa significativamente più difficile senza rischiare di compromettere il software legacy o aziendale. Il risultato è una classe di strumenti che offre un impatto a livello di kernel con uno sforzo di sviluppo minimo, rendendo questi strumenti sproporzionatamente potenti, data la loro semplicità. Ecco perché ESET sottolinea che, sebbene impedire il caricamento dei driver vulnerabili sia un passo cruciale nella linea di difesa, non è un compito facile a causa delle diverse tecniche di bypass esistenti.
Attenzione ai driver legittimi ma vulnerabili
Servirebbe puntare a neutralizzare gli EDR killers prima ancora che abbiano la possibilità di scaricare il driver. In realtà, gli strumenti più semplici per eludere gli EDR non si basano su driver vulnerabili o altre tecniche avanzate. Al contrario, sfruttano gli strumenti e i comandi amministrativi integrati. Le tecniche BYOVD sono diventate il tratto distintivo dei moderni strumenti di elusione degli EDR: onnipresenti, affidabili e ampiamente utilizzate. In uno scenario tipico, un aggressore inserisce un driver legittimo, ma vulnerabile, nel computer della vittima, lo installa e poi esegue un malware che sfrutta la vulnerabilità del driver. Una classe più piccola, ma in crescita, di killer EDR raggiunge i propri obiettivi senza toccare affatto il kernel. Invece di terminare i processi EDR, questi strumenti interferiscono con altre funzionalità critiche.
Debuttano anche gli EDR killers assistiti dall’AI
Infine, l’AI può essere considerata l’ultima arma nell’arsenale dei EDR killers. Determinare se l’AI abbia assistito direttamente nella produzione di un codice specifico è spesso praticamente impossibile. Non esiste un indicatore forense definitivo che distingua in modo affidabile il codice generato dall’IA da quello scritto dall’uomo. In particolare quando gli aggressori lo post-elaborano o lo offuscano. Tuttavia, i ricercatori ESET ritengono che almeno alcuni killer di EDR osservati di recente presentino caratteristiche che suggeriscono fortemente una generazione assistita dall’AI.
Qualche esempio
Un esempio è un killer EDR recentemente distribuito dalla gang Warlock. Contiene una sezione di codice che non solo stampa un elenco di possibili correzioni, un modello tipico dei boilerplate generati dall’AI. Ma invece di sfruttare un driver specifico, implementa un meccanismo di prova ed errore che passa in rassegna diversi nomi di dispositivi non correlati e comunemente oggetto di frodi. Finché non ne trova uno che funzioni.
Bisogna cambiare l’approccio contro le intrusioni ransomware
Jakub Souček, researcher di ESET, che ha analizzato gli EDR killers Un aspetto fondamentale è la divisione dei compiti negli ecosistemi del ransomware-as-a-service. Gli autori di questi attacchi forniscono solitamente il programma di crittografia e l’infrastruttura di supporto. Tuttavia la scelta degli strumenti per aggirare i sistemi EDR è lasciata agli affiliati. Ciò significa che più ampio è il bacino di affiliati, più diversificati diventano gli strumenti utilizzati per eludere i sistemi EDR.
La difesa contro il ransomware richiede una mentalità fondamentalmente diversa rispetto alla difesa contro le minacce automatizzate. Le e-mail di phishing, il malware generico e le catene di exploit si fermano una volta rilevati e neutralizzati dalle soluzioni di sicurezza; le intrusioni ransomware no. Si tratta di operazioni interattive, guidate dall’uomo, e gli intrusi si adattano continuamente a rilevamenti, malfunzionamenti degli strumenti e ostacoli ambientali.
