Hacker Scoperti nell’Utilizzo di Strumenti di Sicurezza Legittimi Durante i Loro Attacchi

I gruppi di ransomware hanno migliorato la loro capacità di evitare il rilevamento attraverso i “killer di EDR”, strumenti progettati per disabilitare i sistemi di sicurezza nelle fasi iniziali dei loro attacchi.

The Register riporta che i ricercatori di Cisco Talos hanno osservato che i gruppi di ransomware sono riusciti a disattivare le protezioni di sicurezza in quasi la metà dei casi esaminati nel 2024. Attraverso questo metodo, gli hacker permettono ad altri hacker di rimanere nascosti per più tempo mentre effettuano furti di dati, e distribuiscono più efficacemente il ransomware.

Secondo Kendall McKay, responsabile strategico presso Talos, gli aggressori implementano più killer di EDR in ogni operazione, come riportato da The Register. I cybercriminali utilizzano

EDRSilencer e EDRSandblast e EDRKillShifter e gli strumenti Terminator per disattivare le difese di sicurezza.

The Register riporta che alcuni programmi di ransomware, come EDRKillShifter, sfruttano le vulnerabilità dei driver di Windows per disattivare le applicazioni di sicurezza.

The Register spiega che il malware è apparso per la prima volta con la gang di RansomHub nell’agosto 2024, ed è stato successivamente utilizzato da altri gruppi di ransomware, tra cui Medusa, BianLian e Play.

“L’obiettivo è solitamente lo stesso: disattivare le protezioni EDR, permettere ai criminali di rimanere non rilevati per più tempo nelle reti compromesse e poi aiutarli a rubare dati sensibili e diffondere ransomware prima di essere scoperti ed espulsi,” ha detto McKay, come riportato da The Register.

Questo attacco rende più complesso il recupero dei sistemi colpiti. Di conseguenza, le organizzazioni a volte devono cancellare e ricostruire completamente le loro reti.

Il Register afferma che non tutti gli assassini di EDR sono malware. Una ricerca condotta da Talos ha dimostrato che le bande di ransomware spesso mettono in atto attacchi utilizzando strumenti legittimi.

Un esempio è HRSword, un prodotto commerciale sviluppato dalla Huorong Network Technology, con sede in Cina. Progettato per monitorare l’attività del sistema, i pirati informatici lo hanno riutilizzato per disabilitare il software di sicurezza. “È uno strumento commerciale legittimo, ma ora gli attori delle minacce lo stanno sfruttando per i loro scopi,” ha detto McKay, come riportato da The Register.

Gli aggressori sfruttano strumenti di sicurezza che non sono stati correttamente configurati. I prodotti di sicurezza funzionano senza personalizzazione in numerose organizzazioni, creando rischi per i loro sistemi, afferma The Register. Alcune organizzazioni impostano i loro strumenti di rilevamento e risposta alle minacce sugli endpoint in modalità “solo audit”, il che significa che le minacce vengono rilevate ma non bloccate.

“Questa è stata forse la cosa più preoccupante per noi, perché è un obiettivo così facile e qualcosa che può essere facilmente prevenuto dalle organizzazioni,” ha evidenziato McKay come riportato da The Register.