EDRKillShifter: nuova minaccia firmata RansomHub

di Livio Varriale Pubblicato: 15/08/2024

scritto da Livio Varriale Pubblicato: 15/08/2024 0 commenti

aldebaran33 Sophos ha recentemente scoperto un nuovo strument 285adba6 ac97 494c 9d77 cb2e02a5fe20 2

Sophos ha recentemente scoperto un nuovo strumento, denominato EDRKillShifter, utilizzato da un gruppo criminale durante un tentativo di attacco ransomware. Sebbene l’attacco, condotto tramite il ransomware RansomHub, sia stato sventato, l’analisi post-mortem ha rivelato l’esistenza di questo nuovo strumento progettato per disabilitare i software di protezione degli endpoint.

Cosa leggere

Come Funziona EDRKillShifter

EDRKillShifter è un “loader” eseguibile, utilizzato come meccanismo di consegna per un driver legittimo ma vulnerabile, una tecnica conosciuta come “bring your own vulnerable driver” (BYOVD). Questo strumento viene eseguito con un comando che include una stringa di password; se la password è corretta, il loader decripta e carica una risorsa integrata nel sistema, eseguendo il payload finale.

EDRKillShifter: nuova minaccia firmata RansomHub 19

Il payload finale, scritto in linguaggio Go, sfrutta un driver vulnerabile per ottenere privilegi sufficienti a disabilitare i sistemi EDR. Il codice è auto-modificante, rendendo l’analisi del malware più complessa poiché le istruzioni cambiano durante l’esecuzione.

Analisi del Malware

EDRKillShifter: nuova minaccia firmata RansomHub 20

Tutti i campioni di EDRKillShifter analizzati eseguono varianti diverse di killer EDR, ma condividono caratteristiche comuni come l’uso di driver legittimi ma vulnerabili. I driver vengono caricati nella memoria e utilizzati per terminare processi specifici, elencati in una lista hardcoded, inclusi software di sicurezza. Il malware utilizza tecniche avanzate di offuscamento per nascondere i dettagli critici, rendendo difficile il reverse engineering.

Mitigazioni e Consigli

Sophos rileva attualmente EDRKillShifter come Troj/KillAV-KG e raccomanda diverse misure di protezione:

Abilitare la protezione anti-manomissione: Questo aggiunge un ulteriore strato di sicurezza contro gli attacchi.
Mantenere una buona igiene della sicurezza di Windows: Limitare i privilegi di amministrazione e separare i ruoli può prevenire l’escalation di privilegi da parte degli attaccanti.
Aggiornare il sistema regolarmente: Microsoft ha iniziato a distribuire aggiornamenti che decertificano i driver firmati noti per essere stati abusati.

Questa scoperta sottolinea l’importanza di rimanere aggiornati sulle nuove minacce e di adottare misure proattive per proteggere i sistemi.

Potrebbe interessarti anche

NIS2, come costruire un processo di gestione incidenti conforme alle linee guida ACN

Pubblicato: 03/01/2026
Crypto 2026 tra drainer wallet EVM, accumulazioni di riserve e strategie statali tra regolazione e Bitcoin

Pubblicato: 02/01/2026
Crepa nel sistema mediatico tra Corona, Google e piattaforme che decidono chi esiste – NEWSLETTER

Pubblicato: 27/12/2025
Divieto FCC sui droni stranieri: USA blindano lo spazio aereo per sicurezza nazionale

Pubblicato: 23/12/2025
Vulnerabilità WhatsApp tra hijacking account e scraping di massa dei dati

Pubblicato: 22/12/2025
Limes, Corona e Musk: quando l’analisi diventa un bersaglio … nel 2025 – NEWSLETTER

Pubblicato: 21/12/2025

Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il motto di Livio Varriale è “Coerenza, Costanza, CoScienza”.