Gli EDR killers sono centrali nelle attuali intrusioni ransomware: gli autori preferiscono finestre brevi e sicure per cifrare i dati. Sono scelti dagli iscritti, non dagli operatori, e aumentano la diversità degli strumenti. Usano tecniche di elusione, talvolta supportate dall’AI, come nel caso del gruppo Warlock; si usano principalmente strumenti BYOVD, ma anche script personalizzati, anti-rootkit e EDR killers senza driver
ESET Research pubblica la più recente analisi sull’ecosistema degli “EDR killers”, rivelando come gli aggressori sfruttino i driver vulnerabili. Il report di ESET presenta approfondimenti basati sui dati telemetrici relativi a tale ambiente, che vanno oltre il comune approccio incentrato sui driver. Il documento illustra come siano gli affiliati, e non gli operatori, a determinare la diversità degli strumenti, e come i codici sorgente riutilizzino e sostituiscano regolarmente i driver. Gli EDR killers sono fondamentali nelle moderne intrusioni ransomware e gli affiliati preferiscono una finestra temporale breve per eseguire i programmi di crittografia piuttosto che modificare costantemente i payload. Inoltre, i ricercatori di ESET ritengono che almeno alcuni EDR killers osservati di recente presentino caratteristiche che suggeriscono una generazione assistita dall’AI. Basata sulla telemetria di ESET e sulle indagini sugli incidenti, la ricerca si fonda sull’analisi e il monitoraggio di quasi 90 EDR killers attivi in circolazione.
Negli ultimi anni, gli “EDR killers” sono diventati uno degli strumenti più diffusi nelle moderne intrusioni ransomware: un aggressore ottiene privilegi elevati, impiega uno di questi strumenti per eludere i sistemi di protezione e solo allora avvia il programma di crittografia. Oltre alla tecnica onnipresente Bring Your Own Vulnerable Driver (BYOVD), ESET osserva che gli aggressori abusano frequentemente di utility anti-rootkit legittime o utilizzano approcci senza driver per bloccare la comunicazione del software di rilevamento e risposta degli endpoint (EDR) o per metterlo in pausa. Questi strumenti compromessi non solo sono numerosi, ma si comportano anche in modo prevedibile e coerente, ed è questo il motivo del grande utilizzo.
“Il contesto delineato dalla ricerca è vastissimo e spazia da infinite ramificazioni di proof of concept a complesse implementazioni professionali. Concentrarci sugli EDR killers disponibili in commercio e pubblicizzati sul dark web, ci permette di comprendere meglio il loro bacino di utenza e individuare affiliazioni altrimenti nascoste. Gli EDR killers sviluppati internamente offrono una visione approfondita del funzionamento interno delle comunità ristrette. Inoltre, il vibe coding sta rendendo le cose ancora più complicate”, afferma Jakub Souček, researcher di ESET, che ha analizzato gli EDR killers.
Per poter crittografare i dati con successo, i programmi di ransomware devono eludere il rilevamento. Oggi esiste un’ampia gamma di tecniche di elusione consolidate, che vanno dal packing e dalla virtualizzazione del codice fino a sofisticate tecniche di injection. Tuttavia, ESET rileva raramente l’implementazione di tali tecniche nei programmi di crittografia. Gli autori degli attacchi ransomware optano invece per gli “EDR killers” per compromettere le misure di sicurezza prima dell’esecuzione del programma di crittografia.
Allo stesso tempo, gli EDR killers spesso si basano su driver legittimi, ma vulnerabili, rendendo la difesa significativamente più difficile senza rischiare di compromettere il software legacy o aziendale. Il risultato è una classe di strumenti che offre un impatto a livello di kernel con uno sforzo di sviluppo minimo, rendendo questi strumenti sproporzionatamente potenti, data la loro semplicità.
Ecco perché ESET sottolinea che, sebbene impedire il caricamento dei driver vulnerabili sia un passo cruciale nella linea di difesa, non è un compito facile a causa delle diverse tecniche di bypass esistenti e servirebbe puntare a neutralizzare gli EDR killers prima ancora che abbiano la possibilità di scaricare il driver.
In realtà, gli strumenti più semplici per eludere gli EDR non si basano su driver vulnerabili o altre tecniche avanzate. Al contrario, sfruttano gli strumenti e i comandi amministrativi integrati. Le tecniche BYOVD sono diventate il tratto distintivo dei moderni strumenti di elusione degli EDR: onnipresenti, affidabili e ampiamente utilizzate. In uno scenario tipico, un aggressore inserisce un driver legittimo, ma vulnerabile, nel computer della vittima, lo installa e poi esegue un malware che sfrutta la vulnerabilità del driver. Una classe più piccola, ma in crescita, di killer EDR raggiunge i propri obiettivi senza toccare affatto il kernel. Invece di terminare i processi EDR, questi strumenti interferiscono con altre funzionalità critiche.
Infine, l’AI può essere considerata l’ultima arma nell’arsenale dei EDR killers. Determinare se l’AI abbia assistito direttamente nella produzione di un codice specifico è spesso praticamente impossibile. Non esiste un indicatore forense definitivo che distingua in modo affidabile il codice generato dall’IA da quello scritto dall’uomo, specialmente quando gli aggressori lo post-elaborano o lo offuscano. Tuttavia, i ricercatori di ESET ritengono che almeno alcuni killer di EDR osservati di recente presentino caratteristiche che suggeriscono fortemente una generazione assistita dall’AI.
Un chiaro esempio è fornitor da un killer EDR recentemente distribuito dalla gang Warlock. Lo strumento contiene una sezione di codice che non solo stampa un elenco di possibili correzioni, un modello tipico dei boilerplate generati dall’AI, ma invece di sfruttare un driver specifico, implementa un meccanismo di prova ed errore che passa in rassegna diversi nomi di dispositivi non correlati e comunemente oggetto di frodi, finché non ne trova uno che funzioni.
«Un aspetto fondamentale è la divisione dei compiti negli ecosistemi del ransomware-as-a-service. Gli autori di questi attacchi forniscono solitamente il programma di crittografia e l’infrastruttura di supporto, ma la scelta degli strumenti per aggirare i sistemi EDR è lasciata agli affiliati. Ciò significa che più ampio è il bacino di affiliati, più diversificati diventano gli strumenti utilizzati per eludere i sistemi EDR», spiega Souček. «La difesa contro il ransomware richiede una mentalità fondamentalmente diversa rispetto alla difesa contro le minacce automatizzate. Le e-mail di phishing, il malware generico e le catene di exploit si fermano una volta rilevati e neutralizzati dalle soluzioni di sicurezza; le intrusioni ransomware no. Si tratta di operazioni interattive, guidate dall’uomo, e gli intrusi si adattano continuamente ai rilevamenti, ai malfunzionamenti degli strumenti e agli ostacoli ambientali”, conclude.
