A person, face obscured, behind a sheet of yellow paper. A torn gap in the paper shows the person putting both hands to their ear as though trying to hear something.
Ricerche sulle CyberMinacce

Dentro la kill chain: gli strumenti che spengono gli EDR

Analisi di un malware progettato per aggirare le difese e lasciare campo libero agli attaccanti
6 Agosto 2025
Negli attacchi multi-fase di oggi, neutralizzare le soluzioni di sicurezza endpoint è un passaggio critico del processo, che consente ai cyber criminali di operare senza essere individuati. Dal 2022 abbiamo osservato un aumento della sofisticazione dei malware progettati per disabilitare i sistemi EDR su un computer infetto.

Alcuni di questi strumenti sono sviluppati da gruppi ransomware. Altri vengono acquistati nei marketplace underground – prove di ciò sono state trovate nei log di chat trapelati del gruppo Black Basta. In molti casi vengono utilizzati servizi di packer-as-a-service come HeartCrypt per offuscare gli strumenti.

EDRKillShifter è stato creato dal gruppo RansomHub e successivamente reso obsoleto da un nuovo strumento, che verrà descritto in questo articolo. Inoltre, analizzeremo le evidenze di condivisione di tool e trasferimento di conoscenze tecniche tra gruppi ransomware che utilizzano diverse build dello strumento in questione.

AVKiller

Ci concentreremo innanzitutto su un payload specifico, un AV killer tool, individuato tra le migliaia di payload nei campioni offuscati con HeartCrypt. In più casi, il rilevamento di questo strumento è avvenuto durante un attacco ransomware in corso. Altri ricercatori hanno osservato prove dell’esistenza di questo tool, in particolare Cylerian. Esistono possibili indizi di una versione iniziale, descritta in un post di Palo Alto Networks del gennaio 2024.

L’autore

Gabor graduated from the Eotvos Lorand University of Budapest with a degree in physics. His first job was in the Computer and Automation Research Institute, developing diagnostic software and hardware for nuclear power plants. He started antivirus work in 1995, and began developing freeware antivirus solutions in his spare time. Gabor joined VirusBuster in 2001 where he was responsible for taking care of macro virus and script malware and became head of the virus lab in 2002. In 2008 he became a member of the Board of Directors in AMTSO (Anti Malware Testing Standards Organization) and, in 2012, joined Sophos as a Principal Malware Researcher.

L’autore

Steeve Gaudreault is a Senior Threat Researcher at SophosLabs. His areas of expertise include malware reverse engineering, C2 protocol analysis, generating detection rules and configuration extractors.

