Controladores traicioneros: cómo programas legítimos ayudan a delincuentes a cifrar tus datos
Archivos del sistema empiezan a regirse por normas ajenas.
Los especialistas de ESET analizaron un segmento de rápido crecimiento de herramientas que los atacantes usan antes de ejecutar cifradores. Se trata de los llamados EDR-killer: utilidades que permiten temporalmente "cegar" a los sistemas de protección y garantizar el cifrado exitoso de los datos.
Estas herramientas se han convertido en una etapa casi obligatoria de los ataques con ransomware. Primero los atacantes obtienen privilegios elevados en el sistema, luego desactivan la protección y solo después ejecutan el cifrador. El enfoque resultó más conveniente que intentar ocultar el propio código malicioso. Los cifradores se mantienen simples y toda la lógica de evasión se traslada a una herramienta separada.
El análisis de ESET abarca casi 90 EDR-killer activos, utilizados por distintos grupos. La mayoría emplea controladores vulnerables, aunque también hay variantes más sencillas: scripts y el uso indebido de utilidades antirrootkit legítimas como GMER o PC Hunter. Además destaca una nueva categoría: herramientas sin controladores que bloquean la comunicación con los sistemas de monitorización o "congelan" los procesos de protección.
La investigación muestra que la elección de estas herramientas depende con más frecuencia no de los operadores del ransomware, sino de sus socios. Cuanto más amplia es la red de socios, más variado es el arsenal empleado. Como resultado, un mismo controlador puede aparecer en distintos ataques no relacionados entre sí, y una herramienta puede cambiar de controlador sin modificaciones significativas en el código. Esto hace que vincular ataques a grupos concretos basándose en controladores sea poco fiable.
El mercado de estas soluciones se está comercializando activamente. En la darknet se venden EDR-killer listos para usar, a veces con instrucciones detalladas y soporte. Entre ellos destacan DemoKiller, AbyssKiller y CardSpaceKiller, que ya se han empleado en ataques de varios grupos. El coste de estas herramientas varía de cientos a miles de dólares, lo que las hace accesibles incluso para atacantes con menos experiencia.
Los especialistas prestaron atención particular al papel de la inteligencia artificial. No hay pruebas directas, pero algunas muestras de código, por ejemplo del grupo Warlock, contienen signos característicos de generación automática. En un caso la herramienta probaba diferentes dispositivos por ensayo y error, lo que recuerda los patrones típicos creados por IA.
La popularidad de los EDR-killer se explica por la combinación de sencillez y eficacia. En lugar de una compleja ocultación del software malicioso, los atacantes obtienen un resultado predecible: la desactivación temporal de la protección. Además, muchas herramientas usan controladores legítimos, lo que complica la defensa y aumenta el riesgo de fallos al bloquearlos.
Los autores del informe subrayan que no basta con bloquear los controladores vulnerables. Para cuando se cargan, los atacantes ya controlan el sistema y están listos para cifrar. Una defensa eficaz requiere la detección temprana del ataque y la respuesta en cada fase, incluidas las intentonas de desactivar los medios de monitorización.