Múltiples grupos de ransomware están compartiendo y adaptando una herramienta avanzada capaz de desactivar soluciones de Endpoint Detection and Response (EDR) y antivirus, lo que les permite operar sin ser detectados y lanzar ciberataques con mayor efectividad, según reportaron investigadores de Sophos.

Esta amenaza, identificada como EDR Killer, marca un punto de inflexión en la evolución del cibercrimen. Investigaciones recientes revelan que familias como Blacksuit, Medusa, Qilin, DragonForce, INC y RansomHub no solo emplean este software, sino que también lo intercambian entre sí o lo adquieren en mercados clandestinos. Esta colaboración criminal incrementa la efectividad de los ataques y reduce drásticamente el tiempo de reacción de las defensas.

Cómo opera el EDR Killer

La herramienta está diseñada para neutralizar defensas clave, especialmente de empresas y negocios, al desactivar procesos críticos como MsMpEng.exe, SophosHealth.exe, SAVService.exe y sophosui.exe. Además, evade la detección utilizando empaquetadores como HeartCrypt y controladores maliciosos firmados con certificados comprometidos o caducados. Su alcance es amplio: puede afectar soluciones de seguridad de proveedores como Sophos, Bitdefender, SentinelOne, Microsoft, McAfee, Webroot, entre otros.
En varios incidentes, Sophos detectó que el EDR Killer se activó en plena ejecución de ataques de ransomware, enfocados en secuestrar datos e información crítica, cuando ya estaba deshabilitando las protecciones del sistema.

Casos documentados

Entre los incidentes más relevantes se encuentra el de MedusaLocker, que aprovechó una vulnerabilidad de día cero en SimpleHelp —herramienta de soporte y acceso remoto— para instalar el EDR Killer y ejecutar ransomware de inmediato. Por su parte, RansomHub e INC emplearon variantes más sofisticadas con múltiples capas de empaquetado y cifrado para evadir incluso las defensas más avanzadas, prolongando su permanencia en los sistemas comprometidos y aumentando el daño potencial.

En nuestro país, el 70% de las demandas de rescate por ataques de ransomware rondan el millón de dólares, y la recuperación tiene un costo promedio de 1.35 millones de dólares para cada empresa mexicana, de acuerdo con el más reciente reporte del Estado del Ransomware en México. Estas cifras evidencian el alto impacto económico y la magnitud de este tipo de incidentes, por lo que resulta urgente que las organizaciones adopten estrategias de defensa en múltiples capas para reducir su vulnerabilidad.

Algunas medidas de protección ante ciberataques son:

• Procurar reducir las causas raíz de los ataques, tanto técnicas como operativas, para impedir que los adversarios ingresen a su organización.
• Mantener una base sólida de seguridad. Los endpoints, incluidos los servidores, son los principales objetivos de los operadores de ransomware, por lo que deben estar debidamente blindados, incluyendo protección específica antiransomware que detenga y revierta el cifrado malicioso.
• Mantener todo el software y herramientas de acceso remoto siempre actualizados y parchados, para cerrar posibles vectores de ataque.
• Bloquear controladores con certificados expirados, revocados o no confiables y monitoree cualquier finalización inusual de procesos de seguridad.
• Vigilar 24/7 es esencial. Si no dispone de los recursos internos, considere un proveedor confiable de detección y respuesta gestionadas (MDR).
• Preparar con un plan de respuesta a incidentes bien definido y practique regularmente la restauración de datos a partir de copias de seguridad de calidad.
  Entrenar a los equipos de TI y ciberseguridad en la detección temprana de sabotajes a EDR y otras amenazas críticas.