{"id":1319700,"date":"2024-08-15T19:48:19","date_gmt":"2024-08-15T19:48:19","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-grupo-ransomhub-implementa-una-nueva-herramienta-para-eliminar-edr-en-los-ultimos-ataques-ciberneticos\/"},"modified":"2024-08-15T19:48:24","modified_gmt":"2024-08-15T19:48:24","slug":"el-grupo-ransomhub-implementa-una-nueva-herramienta-para-eliminar-edr-en-los-ultimos-ataques-ciberneticos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-grupo-ransomhub-implementa-una-nueva-herramienta-para-eliminar-edr-en-los-ultimos-ataques-ciberneticos\/","title":{"rendered":"El grupo RansomHub implementa una nueva herramienta para eliminar EDR en los \u00faltimos ataques cibern\u00e9ticos"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>15 de agosto de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Ransomware \/ Ciberdelito<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se ha observado que un grupo de delitos cibern\u00e9ticos con v\u00ednculos al ransomware RansomHub utiliza una nueva herramienta dise\u00f1ada para terminar el software de detecci\u00f3n y respuesta de puntos finales (EDR) en hosts comprometidos, uni\u00e9ndose a otros programas similares como AuKill (tambi\u00e9n conocido como AvNeutralizer) y Terminator.<\/p>\n

La utilidad para eliminar EDR ha sido bautizada como EDRKillShifter por la empresa de ciberseguridad Sophos, que descubri\u00f3 la herramienta en relaci\u00f3n con un ataque de ransomware fallido en mayo de 2024.<\/p>\n

“La herramienta EDRKillShifter es un ejecutable ‘cargador’, un mecanismo de entrega para un controlador leg\u00edtimo que es vulnerable al abuso (tambi\u00e9n conocido como ‘traiga su propio controlador vulnerable’ o Lleva contigo tu propio veh\u00edculo<\/a>herramienta)”, dijo el investigador de seguridad Andreas Klopsch dicho<\/a>“Dependiendo de los requisitos del actor de la amenaza, puede ofrecer una variedad de cargas \u00fatiles de controlador diferentes”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

RansomHub, una supuesta nueva marca del ransomware Knight, apareci\u00f3 en febrero de 2024 y aprovech\u00f3 fallas de seguridad conocidas para obtener acceso inicial y eliminar software de escritorio remoto leg\u00edtimo, como Atera y Splashtop, para obtener acceso persistente.<\/p>\n

El mes pasado, Microsoft revel\u00f3 que el conocido sindicato de delitos electr\u00f3nicos conocido como Scattered Spider ha incorporado cepas de ransomware como RansomHub y Qilin a su arsenal.<\/p>\n

\"Herramienta<\/a><\/div>\n

El ejecutable, que se ejecuta mediante la l\u00ednea de comandos junto con una cadena de contrase\u00f1a, descifra un recurso integrado llamado BIN y lo ejecuta en la memoria. El recurso BIN descomprime y ejecuta una carga \u00fatil final ofuscada basada en Go, que luego aprovecha diferentes controladores leg\u00edtimos y vulnerables para obtener privilegios elevados y desarmar el software EDR.<\/p>\n

“La propiedad de idioma del binario es ruso, lo que indica que el autor del malware compil\u00f3 el ejecutable en un equipo con configuraciones de localizaci\u00f3n en ruso”, dijo Klopsch. “Todos los asesinos EDR descomprimidos incorporan un controlador vulnerable en la secci\u00f3n .data”.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/section>\n

Para mitigar la amenaza, se recomienda mantener los sistemas actualizados, habilitar la protecci\u00f3n contra manipulaciones en el software EDR y practicar una higiene estricta para los roles de seguridad de Windows.<\/p>\n

“Este ataque s\u00f3lo es posible si el atacante aumenta los privilegios que controla o si puede obtener derechos de administrador”, dijo Klopsch. “La separaci\u00f3n entre privilegios de usuario y de administrador puede ayudar a evitar que los atacantes carguen f\u00e1cilmente los controladores”.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n