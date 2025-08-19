Cibercriminales comparten software para desactivar defensas digitales. Múltiples grupos de ransomware están compartiendo y adaptando una herramienta avanzada capaz de desactivar soluciones de Endpoint Detection and Response (EDR) y antivirus, lo que les permite operar sin ser detectados y lanzar ciberataques con mayor efectividad, según reportaron investigadores de Sophos. La colaboración entre cibercriminales aumenta la efectividad de los ataques y reduce el tiempo de reacción de las defensas.

La herramienta está diseñada para neutralizar defensas clave, especialmente de empresas y negocios, al desactivar procesos críticos como MsMpEng.exe, SophosHealth.exe, SAVService.exe y sophosui.exe. Además, evade la detección utilizando empaquetadores como HeartCrypt y controladores maliciosos firmados con certificados comprometidos o caducados. Su alcance es amplio: puede afectar soluciones de seguridad de proveedores como Sophos, Bitdefender, SentinelOne, Microsoft, McAfee, Webroot, entre otros.

Esta amenaza, identificada como EDR Killer, marca un punto de inflexión en la evolución del cibercrimen. Investigaciones recientes revelan que familias como Blacksuit, Medusa, Qilin, DragonForce, INC y RansomHub no solo emplean este software, sino que también lo intercambian entre sí o lo adquieren en mercados clandestinos. Esta colaboración criminal incrementa la efectividad de los ataques y reduce drásticamente el tiempo de reacción de las defensas.

Cómo opera el EDR Killer

En varios incidentes, Sophos detectó que el EDR Killer se activó en plena ejecución de ataques de ransomware, enfocados en secuestrar datos e información crítica, cuando ya estaba deshabilitando las protecciones del sistema.

Casos documentados

Entre los incidentes más relevantes se encuentra el de MedusaLocker, que aprovechó una vulnerabilidad de día cero en SimpleHelp —herramienta de soporte y acceso remoto— para instalar el EDR Killer y ejecutar ransomware de inmediato. Por su parte, RansomHub e INC emplearon variantes más sofisticadas con múltiples capas de empaquetado y cifrado para evadir incluso las defensas más avanzadas, prolongando su permanencia en los sistemas comprometidos y aumentando el daño potencial.

En nuestro país, el 70% de las demandas de rescate por ataques de ransomware rondan el millón de dólares, y la recuperación tiene un costo promedio de 1.35 millones de dólares para cada empresa mexicana, de acuerdo con el más reciente reporte del Estado del Ransomware en México. Estas cifras evidencian el alto impacto económico y la magnitud de este tipo de incidentes, por lo que resulta urgente que las organizaciones adopten estrategias de defensa en múltiples capas para reducir su vulnerabilidad. Algunas medidas de protección ante ciberataques son: