Analysis
Investigação analisa as ferramentas que desativam os EDR, com um uso crescente em ataques de ransomware a aumentar o risco para as organizações
03/05/2026
|
A Eset identificou uma evolução significativa das ferramentas conhecidas como EDR killers, utilizadas por atacantes para desativar soluções de deteção e resposta em endpoint (EDR) antes da execução de ransomware. O estudo, baseado na análise de cerca de 90 ferramentas ativamente usadas em ataques reais, revela um ecossistema em expansão, caracterizado por maior sofisticação e diversidade. Segundo a investigação, estas ferramentas assumem um papel central nas fases iniciais das intrusões, permitindo aos atacantes neutralizar mecanismos de segurança. A análise indica que os afiliados de grupos de ransomware são os principais responsáveis pela diversidade destas ferramentas, selecionando e adaptando diferentes EDR killers conforme o alvo. Este modelo, associado ao ransomware-as-a-service, contribui para a rápida evolução das técnicas utilizadas. Os atacantes seguem geralmente um padrão: obtêm privilégios elevados, utilizam um EDR killer para desativar as defesas e só depois executam o ransomware. Entre as técnicas mais comuns está o Bring Your Own Vulnerable Driver (BYOVD), que consiste na utilização de drivers legítimos, mas vulneráveis, para comprometer sistemas ao nível do kernel. A Eset alerta que o uso destes drivers representa um desafio adicional para as organizações, uma vez que o bloqueio pode afetar aplicações empresariais legítimas. Além disso, algumas ferramentas recorrem a utilitários administrativos já presentes nos sistemas, evitando a necessidade de interação direta com o kernel. O relatório destaca também que, apesar da predominância do BYOVD, estão a surgir abordagens alternativas, incluindo técnicas que interferem com processos críticos sem recorrer a drivers. Outro fator emergente é o possível uso de Inteligência Artificial (IA) no desenvolvimento destas ferramentas. A Eset identificou indícios de código gerado com apoio de IA em algumas variantes recentes, sugerindo uma aceleração na criação e adaptação de malware. Jakub Souček, investigador da Eset, refere que o ecossistema de EDR killers varia desde provas de conceito simples até implementações complexas, incluindo versões comercializadas em fóruns da dark web. A investigação conclui que a defesa contra este tipo de ameaças exige uma abordagem mais abrangente, focada na deteção precoce e na monitorização de comportamentos suspeitos, tendo em conta que os ataques ransomware são operações dinâmicas e adaptativas conduzidas por intervenientes humanos. |
Receba todas as novidades na sua caixa de correio!
ITS CONF
Um dia na linha da frente da cibersegurança: a IT Security Summit Porto em imagens
ITS CONF
CNCS: “Temos uma diretiva e este deve ser o nosso farol” (com vídeo)
OPINION
Simular o inimigo numa era de inteligência artificial: porque o TIBER e o TLPT nunca foram tão relevantes
ITS CONF
Netskope: “Temos de ter a capacidade de controlar aquilo que já não são componentes humanas” (com vídeo)
ITS CONF
Rui Silva: “A cibersegurança deixa de ser proteger serviços e passa a ser proteger a confiança em tempo real” (com vídeo)
ANALYSIS
Malware destrutivo Lotus atinge setor energético
ANALYSIS
Ciberataques aceleram investimento na segurança de parceiros
ANALYSIS
Empresas confiam na IA sem controlo adequado
ANALYSIS
Bots já dominam quase metade do tráfego online
ANALYSIS
Portugal acima da média europeia em ciberataques
