Descubierta una suite avanzada de EDR Killers utilizada por el grupo RaaS Gentlemen

Introducción

En los últimos meses, el equipo de ESET Research ha llevado a cabo una exhaustiva investigación sobre un conjunto de herramientas especializadas en desactivar soluciones de detección y respuesta de endpoints (EDR), desarrolladas y mantenidas por el grupo de ransomware-as-a-service (RaaS) conocido como Gentlemen. Los hallazgos revelan una consolidación de capacidades ofensivas cada vez más sofisticadas, dirigidas a evadir las defensas corporativas y maximizar el éxito de los ataques de ransomware. Este artículo analiza en profundidad los aspectos técnicos, el impacto y las implicaciones para la ciberseguridad empresarial.

Contexto del Incidente

El grupo Gentlemen, activo desde mediados de 2023, ha logrado posicionarse como uno de los principales proveedores de RaaS, alquilando su infraestructura de ransomware a afiliados que ejecutan los ataques. Según ESET, Gentlemen ha ido evolucionando su arsenal técnico, destacando la integración de “killers” de EDR: herramientas cuyo propósito es neutralizar productos de seguridad antes del despliegue del ransomware. Esta tendencia refuerza una de las mayores preocupaciones actuales de los equipos SOC y los responsables de seguridad: la competencia de los atacantes para desactivar, manipular o eludir mecanismos de protección avanzados.

Detalles Técnicos

La investigación de ESET ha identificado múltiples variantes de EDR Killers diseñadas específicamente para interrumpir, deshabilitar o manipular procesos y servicios de soluciones EDR líderes en el mercado, incluyendo Microsoft Defender for Endpoint, CrowdStrike Falcon, SentinelOne, y Sophos Intercept X, entre otros.

Las herramientas analizadas implementan técnicas avanzadas, alineadas con los TTP del framework MITRE ATT&CK, destacando:

– **T1562.001 (Impair Defenses: Disable or Modify Tools)**: Modificación de claves de registro, eliminación de servicios y uso de scripts para finalizar procesos críticos de los EDR.
– **T1105 (Ingress Tool Transfer)**: Transferencia de binarios personalizados a través de canales cifrados.
– **T1055 (Process Injection)**: Inyección de código en procesos legítimos para evadir la detección.
– **T1070.004 (Indicator Removal on Host: File Deletion)**: Eliminación de logs y archivos de registro para dificultar el análisis forense.

Entre los IoC identificados, destacan hashes de archivos vinculados a variantes de los EDR Killers, así como direcciones IP y dominios usados para la comunicación C2 (Command and Control). Además, se ha observado el uso de frameworks conocidos como Metasploit para la carga de payloads y la integración con Cobalt Strike para la gestión remota y persistencia.

Impacto y Riesgos

El despliegue exitoso de estos EDR Killers permite a los atacantes operar con un nivel de sigilo significativamente superior, incrementando la ventana de exposición y reduciendo la probabilidad de detección temprana. En los incidentes analizados, la tasa de éxito en la desactivación de EDR ronda el 70% en entornos con políticas de seguridad subóptimas o con versiones desactualizadas de los agentes.

El riesgo asociado va más allá de la infección por ransomware: la desactivación de EDR abre la puerta a movimientos laterales, exfiltración de datos (T1020, T1041) y persistencia prolongada. Los daños económicos derivados de estos ataques se estiman en millones de euros, considerando tanto los pagos de rescate como los costes de recuperación y las posibles multas regulatorias en el marco del RGPD y la próxima directiva NIS2.

Medidas de Mitigación y Recomendaciones

Para hacer frente a esta amenaza, los expertos recomiendan:

– **Actualizar inmediatamente** todos los agentes EDR a sus últimas versiones, priorizando parches que refuercen la protección contra técnicas de desactivación.
– **Implementar políticas de hardening** de endpoints, restringiendo permisos de usuario y bloqueando la ejecución de binarios no firmados.
– **Activar la supervisión avanzada** de logs, con alertas automatizadas en caso de alteraciones en los servicios de seguridad.
– **Realizar pruebas de Red Team/Purple Team** para simular ataques y evaluar la resiliencia de los sistemas EDR frente a TTP similares.
– **Desplegar soluciones de respaldo** no conectadas permanentemente a la red, para garantizar la recuperación en caso de compromiso total.

Opinión de Expertos

Josep Albors, Director de Investigación y Concienciación de ESET España, subraya: “La profesionalización de los grupos RaaS está impulsando el desarrollo de herramientas cada vez más eficaces para evadir la defensa en profundidad. Las organizaciones deben adaptar su estrategia de seguridad a una realidad en la que los EDR pueden ser eludidos o neutralizados en minutos”.

Implicaciones para Empresas y Usuarios

El descubrimiento de esta suite de EDR Killers pone de manifiesto la necesidad de una defensa multicapa y una gestión proactiva de vulnerabilidades. Las empresas deben revisar sus planes de respuesta a incidentes y fortalecer la formación de sus equipos SOC. Asimismo, los administradores deben considerar la posibilidad de que, ante la neutralización de EDR, la detección y contención dependa de logs externos, análisis de red y otras fuentes.

Conclusiones

La investigación de ESET sobre la suite de EDR Killers del grupo Gentlemen evidencia un salto cualitativo en el arsenal de los grupos RaaS. La sofisticación de estas herramientas exige a las organizaciones un enfoque más integral y actualizado, que combine tecnología, procesos y capacitación frente al cambiante panorama de amenazas.

(Fuente: www.welivesecurity.com)