Um grupo de cibercrime vinculado ao ransomware RansomHub foi identificado utilizando uma nova ferramenta projetada para desativar softwares de detecção e resposta de endpoints (EDR) em hosts comprometidos. A ferramenta, batizada de EDRKillShifter, foi descoberta em conexão com um ataque de ransomware em maio de 2024. A EDRKillShifter junta-se a outras ferramentas semelhantes, como AuKill (também conhecida como AvNeutralizer) e Terminator, que visam desativar mecanismos de segurança em dispositivos invadidos.

Segundo o pesquisador de segurança Andreas Klopsch, a EDRKillShifter é um executável ‘loader’, ou seja, um mecanismo de entrega para um driver legítimo, mas vulnerável, conhecido como BYOVD (Bring Your Own Vulnerable Driver). O grupo RansomHub, que surgiu em fevereiro de 2024 e é suspeito de ser um rebranding do ransomware Knight, utiliza vulnerabilidades de segurança conhecidas para obter acesso inicial a sistemas e instalar softwares de acesso remoto legítimos, como Atera e Splashtop, para manter a persistência.

Em julho de 2024, a Microsoft revelou que o grupo Scattered Spider, um conhecido sindicato do crime cibernético, incorporou o RansomHub e outros ransomwares, como o Qilin, em seu arsenal de ferramentas de ataque. A ferramenta EDRKillShifter, quando executada via linha de comando, decripta um recurso incorporado chamado BIN e o executa na memória. Esse recurso BIN, por sua vez, descompacta e roda um payload final baseado em Go, que utiliza drivers legítimos, mas vulneráveis, para obter privilégios elevados e desarmar o software EDR.