Cómo EDR Killer desactiva la Seguridad en Windows y Cómo puedes Proteger tu Red

Noticias Hacking y Seguridad Informática / Ransomware / 5 de febrero de 2026 / Por

En el mundo de la ciberseguridad, los atacantes constantemente buscan formas de evadir la protección de endpoints.

Recientemente, investigadores de Huntress identificaron un EDR killer que utiliza un antiguo controlador de EnCase para desactivar hasta 59 herramientas de seguridad, poniendo en riesgo sistemas Windows sin las configuraciones adecuadas.

Este artículo explica cómo funciona esta técnica, cómo los atacantes la implementan y cuáles son las recomendaciones clave de defensa para proteger tu red.

¿Qué es EDR Killer y cómo funciona?

Un EDR killer es un programa malicioso diseñado específicamente para desactivar soluciones de seguridad como antivirus, EDR (Endpoint Detection and Response) y otras protecciones del sistema.

Estos programas suelen aprovechar drivers vulnerables para obtener acceso a nivel kernel, lo que les permite:

  • Desactivar procesos de seguridad en ejecución.
  • Saltarse protecciones como Protected Process Light (PPL) en Windows.
  • Mantener persistencia incluso después de reiniciar el sistema.

La técnica utilizada con más frecuencia se llama Bring Your Own Vulnerable Driver (BYOVD), donde los atacantes introducen un controlador legítimo pero obsoleto o vulnerable para controlar el kernel y deshabilitar la seguridad.

Caso reciente: abuso del controlador EnCase

Huntress reportó un ataque donde los hackers:

  1. Ingresaron mediante credenciales comprometidas de SonicWall SSL VPN sin MFA.
  2. Realizaron reconocimiento interno agresivo, incluyendo ICMP pings, NetBIOS probes y tráfico SMB sospechoso.
  3. Desplegaron un EDR killer disfrazado de actualización de firmware, que utiliza EnPortv.sys, un antiguo driver de EnCase.

Detalles del controlador

  • Certificado emitido en 2006, expirado en 2010 y revocado posteriormente.
  • Windows sigue aceptando el certificado debido a cómo valida firmas de drivers y marcas de tiempo, incluso si el CRL (Certificate Revocation List) indica que fue revocado.
  • Se instala como un servicio de hardware falso, asegurando persistencia tras reinicios.

¿Cómo el malware desactiva la seguridad?

El EDR killer utiliza la interfaz IOCTL del driver para:

  • Terminar procesos de seguridad automáticamente.
  • Detectar y matar 59 procesos específicos de EDR y antivirus.
  • Ejecutar un bucle de eliminación de procesos cada segundo, asegurando que cualquier proceso reiniciado sea inmediatamente detenido.

Aunque el ataque estaba relacionado con ransomware, Huntress logró detenerlo antes de que se desplegara la carga útil final.

Recomendaciones de defensa

Para proteger tus sistemas frente a esta amenaza, se recomienda:

  1. Habilitar MFA en todos los servicios de acceso remoto, como VPN.
  2. Monitorear logs de VPN para detectar actividad sospechosa.
  3. Activar HVCI / Memory Integrity para reforzar la protección de drivers vulnerables.
  4. Vigilar servicios kernel que se hagan pasar por hardware OEM.
  5. Implementar reglas de WDAC y ASR para bloquear drivers firmados vulnerables.
  6. Mantener todos los sistemas y soluciones de seguridad actualizados para reducir vectores de explotación.

Conclusión

El abuso de drivers de kernel legítimos pero vulnerables, como EnPortv.sys de EnCase, demuestra que incluso software forense confiable puede ser explotado. La combinación de MFA, monitorización de actividad y políticas de bloqueo de drivers es fundamental para proteger cualquier red corporativa.

🔥 LO MÁS VISTO DE ESTA CATEGORÍA