Hackers Descobertos Usando Ferramentas de Segurança Legítimas Durante Seus Ataques

Grupos de ransomware aprimoraram sua capacidade de evitar a detecção através de “assassinos de EDR”, ferramentas projetadas para desativar sistemas de segurança no início de seus ataques.

The Register relata que pesquisadores da Cisco Talos observaram grupos de ransomware desativando com sucesso as proteções de segurança em quase metade dos casos examinados em 2024. Por meio deste método, hackers permitem que outros hackers permaneçam ocultos por mais tempo enquanto realizam o roubo de dados, e distribuem ransomware de maneira mais eficaz.

De acordo com Kendall McKay, líder estratégica na Talos, os atacantes implementam vários matadores de EDR ao longo de cada operação, conforme relatado por The Register. Cibercriminosos empregam

EDRSilencer e EDRSandblast e EDRKillShifter e ferramentas Terminator para desativar defesas de segurança.

O Register informa que alguns programas de ransomware, como o EDRKillShifter, se aproveitam das vulnerabilidades do driver do Windows para desativar aplicativos de segurança.

O Register explica que o malware surgiu pela primeira vez com a gangue do RansomHub em agosto de 2024, e desde então tem sido usado por outros grupos de ransomware, incluindo Medusa, BianLian e Play.

“O objetivo é geralmente o mesmo: eliminar as proteções EDR, permitir que os criminosos permaneçam indetectáveis por mais tempo nas redes comprometidas e, em seguida, ajudá-los a roubar dados sensíveis e implantar ransomware antes de serem pegos e expulsos”, disse McKay, conforme relatado pelo The Register.

Este ataque torna a recuperação dos sistemas afetados mais complicada. Como resultado, às vezes as organizações precisam apagar e reconstruir totalmente suas redes.

O Register afirma que nem todos os assassinos EDR são malwares. Pesquisas realizadas pela Talos mostraram que gangues de ransomware frequentemente realizam ataques usando ferramentas legítimas.

Um exemplo é o HRSword, um produto comercial desenvolvido pela Huorong Network Technology, baseada na China. Projetado para monitorar a atividade do sistema, hackers o reutilizaram para desativar softwares de segurança. “É uma ferramenta comercial legítima, mas agora os atores de ameaças estão a cooptando para seus próprios propósitos”, disse McKay, conforme relatado pelo The Register.

Os invasores exploram ferramentas de segurança que não foram configuradas adequadamente. Produtos de segurança funcionam sem personalização em várias organizações, o que cria riscos de segurança para seus sistemas, diz The Register. Algumas organizações configuram suas ferramentas de detecção e resposta de endpoint para o modo “apenas auditoria”, o que significa que as ameaças são detectadas, mas não bloqueadas.

“Isso foi talvez o mais preocupante para nós, porque é uma solução tão fácil e algo que pode ser facilmente prevenido pelas organizações”, apontou McKay, conforme relatado pelo The Register.