▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Nuovo killer EDR in mano a un noto gruppo ransomware

Un nuovo strumento che probabilmente ha matrice russa e che sfrutta sofisticate tecniche di offuscamento viene usato dal RaaS RansomHub per disattivare le protezioni EDR delle vittime.

Tecnologie/Scenari

Si chiama EDRKillShifter la nuova minaccia progettata per compromettere i sistemi di protezione degli endpoint (EDR) in uso alla piattaforma RaaS nota come RansomHub. La scoperta è stata fatta dagli analisti di Sophos, durante il monitoraggio di tentativo di attacco ransomware non andato a buon fine, che aveva l'obiettivo di installare proprio il ransomware RansomHub.

L'analisi delle attività condotte dagli attaccanti ha rivelato la presenza di EDRKillShifter, che viene descritto dagli analisti come uno strumento altamente sofisticato, che testimonia l'evoluzione delle tecniche e degli strumenti di attacco con l’obiettivo di eludere le misure di sicurezza. Proprio la crescente adozione di soluzioni EDR da parte delle aziende ha ispirato minacce come EDRKillShifter, che non è un inedito: di recente si è sentito spesso parlare di tecniche studiate appositamente per disattivare le difese informatiche, come testimoniano per esempio le novità legate a PhantomLoader e alla campagna di cryptojacking nota con il nome in codice REF4578.

EDRKillShifter è quindi da inquadrare come il rappresentante di un trend crescente che Sophos sta monitorando dal 2022, in risposta all'incremento dell'adozione delle tecnologie di difesa da parte delle potenziali vittime.


Il processo di esecuzione del loader

EDRKillShifter

Sophos evidenzia che rispetto alle minacce simili finora monitorate, EDRKillShifter si distingue per la sua capacità di caricare diversi payload di driver vulnerabili, in funzione delle esigenze dell'attaccante. Questo ne fa uno strumento estremamente flessibile e pericoloso.

Più nel dettaglio, EDRKillShifter funziona come un loader eseguibile, un meccanismo di consegna per un driver legittimo ma vulnerabile, in quello che è comunemente noto come BYOVD (Bring Your Own Vulnerable Driver). Il processo di esecuzione di questo strumento si articola in tre fasi principali. Nella prima l'attaccante esegue EDRKillShifter con una stringa di password, necessaria per attivare la decodifica di una risorsa incorporata chiamata BIN, che viene poi eseguita in memoria. Successivamente, il codice BIN estrae e avvia il payload finale, scritto in linguaggio Go, che sfrutta driver vulnerabili per ottenere privilegi sufficienti a disattivare le protezioni EDR.

Proprio l’impiego di una password di 64 caratteri per eseguire il codice è indicativa della cura nello sviluppo dello strumento, che ha tenuto in conto la necessità di evitare esecuzioni accidentali o analisi superficiali. Infatti gli analisti hanno appurato che se la password non viene fornita correttamente, l'esecuzione del malware fallisce.

Tutti i campioni di EDRKillShifter analizzati da Sophos condividono alcune caratteristiche comuni, tra cui il nome originale del file ("Loader.exe") e la lingua impostata sul russo. Una volta eseguito con successo, EDRKillShifter carica in memoria la risorsa BIN criptata e la copia in un file temporaneo denominato "Config.ini". Questo file viene poi eliminato, e il malware prosegue con la decodifica del payload successivo utilizzando un hash SHA256 della password come chiave di cifratura. Se la cifratura ha successo, il malware crea un nuovo thread e inizia l'esecuzione del payload in memoria. Questa tecnica di auto-modifica del codice, che altera le istruzioni del programma durante il runtime, rende l'analisi del malware particolarmente complessa.

Il payload finale caricato in memoria è un killer di EDR, anch'esso scritto in Go e accuratamente offuscato, probabilmente utilizzando uno strumento open-source come gobfuscate. Con l’obiettivo di ostacolare l'analisi inversa del codice, la versione di Go e altre informazioni utili sono state rimosse o cifrate, rendendo il lavoro di analisi molto complessa.


Il codice automodificante di EDRKillShifterSophos è comunque riuscita a estrarre alcune informazioni preziose. Tutti i campioni analizzati di EDRKillShifter includono un driver vulnerabile nella sezione .data del codice. Il comportamento del malware, sebbene simile ad altri killer di EDR già noti, differisce principalmente nel driver vulnerabile utilizzato e caricato. Per esempio, uno dei campioni analizzati sfrutta un driver vulnerabile noto come RentDrv2, mentre un altro utilizza un driver chiamato ThreatFireMonitor, parte di un pacchetto di monitoraggio del sistema ormai in disuso. Entrambi i driver possono essere sfruttati utilizzando exploit proof-of-concept disponibili pubblicamente su piattaforme come GitHub.

Una ipotesi plausibile (ma da confermare) è che il loader e i payload finali siano sviluppati da attori diversi, con il loader acquistato nel darkweb e utilizzato da vari attaccanti per distribuire i propri payload BYOVD.

La difesa da attacchi che usano strumenti come quello descritto si basa sui ben noti principi di cyber hygiene, soprattutto mantenere aggiornati i sistemi e tenere una netta separazione fra privilegi di utente e amministratore, dato che questo attacco è possibile solo se l'attaccante aumenta i privilegi di cui è in possesso o se riesce a ottenere i diritti di amministratore.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 11
TPM 2.0: Il Cuore della Sicurezza nei PC Moderni
Lug 11
Accesso Sicuro, Futuro Protetto: Il Viaggio con Cisco Duo
Lug 11
Microsoft Sentinel: la piattaforma SIEM e SOAR per il soc moderno
Lug 15
Business Meeting HP | Diventa HP Extended Partner & HP Ecosystem
Lug 15
Networking on OCI: Dietro le Quinte della Rete Cloud
Lug 15
HPE TSC - Le ultime novità HPE per il tuo business a valore aggiunto
Lug 15
Cisco 360 Level Up:la transizione guidata da TD SYNNEX
Lug 16
NetApp Hybrid Cloud Associate Workshop
Lug 17
Ready Informatica Webinar | Cove Data Protection di N-able – Il tuo backup è ancorato al passato?

Ultime notizie Tutto

Patch Tuesday di luglio 2025: chiuse 137 falle, una Zero Day

Microsoft risolve 137 falle di sicurezza nel Patch Tuesday di luglio, tra cui una Zero Day su SQL Server e gravi vulnerabilità in Windows e SharePoint.

09-07-2025

AI agent e automazione no-code: la nuova era dei SOC

Agentic AI e automazione no-code: i SOC stanno cambiando faccia. Ecco come workflow intelligenti, integrazioni dinamiche e nuovi standard possono ridefinire l’incident response e il ruolo degli analisti.

09-07-2025

Acronis, come semplificare il lavoro di MSP e team IT con il patch management

Umberto Zanatta, Senior Solutions Engineer di Acronis, approfondisce come l’automazione del patch management possa semplificare le attività quotidiane, migliorare l’efficienza e assicurare una maggiore aderenza ai requisiti normativi, anche in ambienti IT complessi e distribuiti

08-07-2025

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1