Técnicas de evasión EDR usadas por ransomware
Las bandas de ransomware están empleando técnicas de evasión EDR cada vez más avanzadas para evadir los controles de seguridad implementados por las compañías, demostrando así cómo han evolucionado los ciberataques y la importancia de contar con una defensa activa. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) identifica constantemente las tácticas que los grupos de ransomware más activos emplean para evitar la detección de los sistemas de protección más comunes (EDR), como parte de su iniciativa STOP RANSOMWARE.
Basándonos en la información publicada por la CISA, hemos creado este top 10 de las técnicas de evasión EDR que los delincuentes informáticos utilizan para eludir protecciones EDR, ordenadas de las más frecuentes a las menos comunes entre los diferentes grupos. Cada táctica incluye su ID de MITRE ATT&CK para que puedas profundizar en cada técnica y reforzar la seguridad de tus activos.
1. Deshabilitar EDR o Antivirus
Esta técnicas y sub-técnicas (T1562.001) implica desactivar el EDR y antivirus para evadir la detección y facilitar el acceso persistente. Utiliza herramientas específicas o scripts para deshabilitar las defensas de seguridad del sistema.
https://attack.mitre.org/techniques/T1562/001/
2. Uso de PowerShell (LotL)
Living off the Land (LotL) con PowerShell (T1059.001) permite ejecutar comandos maliciosos con herramientas del sistema ya presentes, minimizando las alertas al sistema de seguridad.
https://attack.mitre.org/techniques/T1059/001/
3. Eliminación de Logs
Eliminar archivos de registro (T1070) ayuda a ocultar la actividad maliciosa, complicando el análisis forense posterior y evitando que las alertas de seguridad detecten el ataque.
https://attack.mitre.org/techniques/T1070/
4. Uso de Controladores Vulnerables (BYOVD)
La técnica Bring Your Own Vulnerable Driver (BYOVD) (T1068) explota controladores legítimos con vulnerabilidades para evitar la detección y manipular las defensas de seguridad del sistema.
https://attack.mitre.org/techniques/T1068/
5. Modificación de Políticas de Grupo
Modificar las políticas de grupo (T1484.001) permite a los atacantes desactivar antivirus y otros controles de seguridad en todo el dominio, aprovechando configuraciones administrativas.
https://attack.mitre.org/techniques/T1484/001/
6. Acceso Remoto con Credenciales Robadas
Usar credenciales válidas robadas (T1078) para acceder al sistema mediante SSH, RDP o VPN permite a los atacantes moverse lateralmente sin activar alertas de seguridad.
https://attack.mitre.org/techniques/T1078/
7. Modificación del Registro de Windows
Modificar el registro de Windows (T1112) permite desactivar funciones críticas de antivirus y protección de manipulación, ayudando a los atacantes a mantener la persistencia en el sistema.
https://attack.mitre.org/techniques/T1112/
8. Modificación de Firewall
La modificación de configuraciones de firewall (T1562.004) permite eludir restricciones de red, facilitando el acceso y movimiento del atacante sin ser detectado.
https://attack.mitre.org/techniques/T1562/004/
9. Reinicio en Modo Seguro
Reiniciar el sistema en Modo Seguro (Safe Mode) (T1562.009) permite a los atacantes desactivar muchas herramientas de seguridad que no operan en este entorno. Esto les facilita eludir las defensas de EDR y antivirus y continuar con su ataque sin ser detectados.
https://attack.mitre.org/techniques/T1562/009/
10. Escaneo y Detección de Red
Escanear la red y detectar configuraciones o software seguridad (T1016 y T1518.001) permite a los atacantes mapear la infraestructura y identificar puntos vulnerables, optimizando el ataque y eludiendo defensas.
https://attack.mitre.org/techniques/T1016/
https://attack.mitre.org/techniques/T1518/001/
Este top 10 de técnicas de evasión EDR usadas por bandas de ransomware muestra cómo los delincuentes informáticos aprovechan herramientas y configuraciones del sistema para evitar ser detectados y lograr sus objetivos. Desde desactivar antivirus hasta usar accesos robados y comandos comunes, estas técnicas de evasión EDR resaltan la necesidad de contar con estrategias de seguridad más completas, que no solo dependan de la protección del endpoint, sino que también incluyan monitoreo de red y una respuesta rápida ante cualquier actividad sospechosa.
Explora más recursos en nuestro sitio web y canal de YouTube, donde encontrarás herramientas y estrategias clave para proteger tu empresa de ataques cibernéticos. ¡Te esperamos con contenido exclusivo y útil!
Related Entradas
Estafas más comunes en Navidad y Año Nuevo: ¿Cómo evitarlas?
Las estafas son un problema frecuente durante las fiestas, tanto en Navidad como…
BIMI: Lleva tu marca al siguiente nivel con logotipos en emails
Guía para Configurar BIMI y Mostrar el Logotipo de tu Marca en Correos…
Seguridad de la Red: 5 razones para reforzar tus defensas ahora
Seguridad de la Red: Hoy, con el auge de las políticas de trabajo…
TLS 1.2: Refuerza tu Seguridad con un Clic
¿Por Qué Migrar a TLS 1.2 es Crucial para la Seguridad de tu…