Evolução das Táticas de Evasão
Grupos de ransomware estão ampliando significativamente suas abordagens para derrotar a segurança de endpoint, movendo-se bem além da técnica tradicional de explorar drivers vulneráveis. Durante anos, o método Bring Your Own Vulnerable Driver (BYOVD) foi a principal forma de atacantes desabilitarem ferramentas de segurança antes de lançar seus payloads de criptografia. Hoje, o cenário tornou-se muito mais complexo, com atores maliciosos implantando ferramentas baseadas em scripts, abusando de software anti-rootkit legítimo e utilizando métodos totalmente sem drivers para silenciar produtos de segurança antes do início da criptografia.
Essa mudança reflete uma prioridade operacional chave: afiliados de ransomware precisam de uma janela curta e confiável para executar seus criptografadores sem serem interrompidos. Em vez de tentar tornar os criptografadores invisíveis ao software de segurança — uma tarefa difícil e demorada — os atacantes preferem destruir a proteção de segurança diretamente. Isso torna os EDR Killers, ferramentas projetadas especificamente para desabilitar software de detecção e resposta de endpoint, parte central de quase todos os ataques modernos de ransomware.
Estatísticas e Evidências de Campo
Pesquisas baseadas em telemetria da ESET e investigações reais de incidentes confirmam que essa tendência está acelerando em grupos de ransomware grandes e pequenos. Analistas da WeLiveSecurity identificaram e rastrearam perto de 90 EDR Killers ativamente usados no mundo real, abrangendo quase todas as gangues de ransomware que operam hoje. Destes, 54 são ferramentas baseadas em BYOVD que abusam de 35 drivers vulneráveis distintos, enquanto 7 são baseadas em scripts e 15 abusam de software anti-rootkit legítimo ou disponível gratuitamente.
A pesquisa deixa claro que o ecossistema de EDR Killer amadureceu em um mercado estruturado e comercialmente orientado, onde essas ferramentas são compradas, vendidas e adaptadas para atingir uma ampla gama de fornecedores de segurança. O impacto dessa mudança é sério: as vítimas enfrentam ataques onde as ferramentas de segurança são tornadas inúteis antes mesmo do criptografador ser executado.
Ferramentas Comerciais e Mercados Subterrâneos
Grupos como Akira, Medusa, Qilin, RansomHouse e DragonForce foram observados usando EDR Killers comerciais adquiridos em mercados subterrâneos. Uma ferramenta vendida comercialmente, AbyssKiller, que combina o rootkit ABYSSWORKER com um carregador HeartCrypt, tornou-se um dos EDR Killers comerciais mais frequentemente vistos no mundo real. Outra, CardSpaceKiller, aparece consistentemente em ataques Akira, Medusa e MedusaLocker, empacotada usando o serviço VX Crypt.
A sofisticação reside na evasão de detecção. Diferentemente dos criptografadores, que focam inteiramente em criptografar arquivos, os EDR Killers tornaram-se o principal veículo para evasão de defesa em operações de ransomware. Os atacantes investem sua sofisticação técnica aqui, em vez de nos próprios criptografadores, porque interromper o software de segurança diretamente é mais simples e confiável do que tornar um payload indetectável.
Técnicas de Ofuscação e Proteção
Ferramentas comerciais são empacotadas usando produtos como VX Crypt e HeartCrypt, que adicionam ofuscação de nível estrutural, comportamento anti-máquina virtual e reempacotamento contínuo para derrotar a detecção estática. Protetores de código como VMProtect e Themida são regularmente utilizados. Algumas ferramentas vão além, armazenando drivers criptografados ou shellcode em arquivos separados no disco, mantendo componentes críticos longe dos defensores.
SmilingKiller, observado durante intrusões LockBit e Dire Wolf, usa a aplanamento de fluxo de controle para tornar seu código difícil de seguir. CardSpaceKiller depende de resolução por hash de chamada e ofuscação de strings, enquanto EDRKillShifter, desenvolvido pelo grupo agora extinto RansomHub, protege com senha seções-chave de seu código.
Recomendações para CISOs e Equipes de Segurança
As organizações devem tratar o bloqueio de drivers como um primeiro passo necessário, mas insuficiente. Equipes de segurança devem monitorar eventos de instalação suspeita de drivers e usar listas de bloqueio mantidas para sinalizar drivers vulneráveis conhecidos. Uma estratégia de detecção em camadas através de um provedor de detecção e resposta gerenciada ou uma equipe interna de SOC é crítica, já que os atacantes se adaptam em tempo real.
Restringir o acesso de alta privilégio e manter a segmentação de rede reduzem a janela que os atacantes precisam para implantar essas ferramentas. A telemetria forte de endpoint garante que os defensores mantenham visibilidade mesmo quando uma camada de proteção é interrompida. A adoção de soluções de segurança que utilizam inteligência de ameaças em tempo real e análise comportamental é essencial para detectar essas táticas avançadas.