What is an EDR-killing framework?

An EDR-killing framework is a tool used by attackers to disable endpoint detection and response software before encrypting files, eliminating the visibility security teams rely on.

How do attackers disable EDR software?

They typically use the Bring Your Own Vulnerable Driver (BYOVD) technique, loading a signed but vulnerable kernel driver to terminate or blind security processes running in user space.

Why are EDR-killing tools becoming more common among ransomware groups?

The barrier to entry is lowering because these toolkits are being commoditized and shared across ransomware-as-a-service ecosystems, allowing even less sophisticated groups to deploy them.

What happens when an EDR tool is successfully killed?

A visibility blackout occurs: SOC teams lose telemetry, automated response rules stop firing, and attackers can proceed with lateral movement, data exfiltration, and encryption without detection.

Why does the rise of EDR killers require a layered defense?

Because many security programs treat EDR as a reliable detection floor, and when it is removed, teams without compensating controls are left blind to the attack, demanding additional security layers.

Framework-urile ransomware care distrug EDR impun o apărare pe mai multe niveluri

Grupurile de ransomware au rescris în liniște regulile propriilor atacuri. În loc să se grăbească să cripteze fișierele înainte ca instrumentele de securitate să poată reacționa, multe adoptă acum un prim pas mai calculat: dezactivarea completă a acestor instrumente. Ascensiunea strategiei de apărare ransomware care dezactivează EDR contestă o presupunere fundamentală care a modelat securitatea întreprinderilor ani la rând – și anume că software-ul de detecție și răspuns la nivel de endpoint (EDR) servește drept ultimă linie de protecție fiabilă.

Când atacatorii pot neutraliza acest strat înainte ca atacul să înceapă, întregul model de securitate trebuie reexaminat.

Cum funcționează framework-urile care dezactivează EDR și de ce se răspândesc

Software-ul EDR funcționează prin monitorizarea comportamentului proceselor, a activității fișierelor și a apelurilor de rețea la nivel de endpoint. Poate semnala tipare suspecte în timp real și poate alerta echipele de securitate sau poate pune automat în carantină amenințările. Tocmai această vizibilitate este ceea ce atacatorii vor să elimine.

Framework-urile care distrug EDR, numite uneori „distrugătoare de EDR”, exploatează de obicei o clasă de vulnerabilități legate de drivere legitime, dar vulnerabile. Deoarece Windows acordă o încredere ridicată anumitor drivere semnate, la nivel de kernel, atacatorii încarcă un driver vulnerabil pe mașina țintă și îl folosesc ca vehicul pentru a termina sau a orbi procesele de securitate care rulează în spațiul utilizatorului. Această tehnică, cunoscută generic sub numele de Bring Your Own Vulnerable Driver (BYOVD), a fost adoptată de mai multe operațiuni ransomware, inclusiv RansomHub, care a implementat unealta EDRKillShifter în lanțuri de atac documentate.

Atractivitatea pentru atacatori este evidentă. Odată ce EDR-ul este neutralizat, fazele rămase ale atacului – mișcarea laterală, exfiltrarea datelor și criptarea fișierelor – pot continua cu un risc semnificativ redus de detectare sau întrerupere. Echipa de securitate nu vede nimic până când nu este prea târziu.

Aceste framework-uri se răspândesc și pentru că bariera de intrare scade. Trusele de instrumente sunt transformate în marfă și partajate în ecosistemele ransomware-as-a-service, ceea ce înseamnă că grupuri cu o sofisticare tehnică limitată le pot acum implementa alături de încărcăturile lor utile.

Ce se întâmplă când securitatea endpoint-ului dispare

Consecința imediată a unei dezactivări reușite a EDR-ului este o pană de vizibilitate la nivel de endpoint. Echipele centrului de operațiuni de securitate (SOC) pierd telemetria. Regulile de răspuns automat încetează să se mai declanșeze. Prezumțiile încorporate în manualele de răspuns la incidente nu mai sunt valabile.

Aceasta nu este doar o problemă tehnică, ci și una organizațională. Multe programe de securitate au fost arhitecturate în jurul ideii că EDR oferă un nivel minim de detecție fiabil. Când acest nivel dispare, echipele care nu dispun de controale compensatorii se trezesc răspunzând unui atac pe care nu l-au putut vedea venind.

Tiparul mai larg se leagă de o schimbare în modul în care atacatorii obțin accesul inițial. După cum a constatat Raportul Verizon 2026 privind investigațiile breșelor de date, vulnerabilitățile software au depășit furtul de acreditări ca principal punct de intrare în breșe. Atacatorii exploatează defectele software pentru a obține acces, apoi implementează unelte care dezactivează EDR-ul pentru a elimina vizibilitatea, înainte de a executa încărcătura principală. Cele două tendințe se consolidează reciproc.

Organizațiile din domeniul sănătății sunt deosebit de expuse. Consecințele unui gol de vizibilitate într-un sector care se bazează pe sisteme permanent disponibile sunt severe, așa cum au demonstrat incidente precum breșa ChipSoft, care a evidențiat modul în care criptarea inadecvată agravează daunele atunci când apărarea este ocolită.

De ce apărarea la nivel de rețea umple golul

Securitatea endpoint-ului și securitatea la nivel de rețea nu sunt redundante. Ele observă lucruri diferite. Chiar și atunci când un EDR este orbit, traficul de rețea continuă să circule, iar acel trafic poartă semnale.

Instrumentele de detecție și răspuns la nivel de rețea (NDR) monitorizează traficul est-vest în interiorul perimetrului de rețea, tiparele de mișcare laterală, interogările DNS neobișnuite și conexiunile externe neașteptate. În mod esențial, ele funcționează independent de agentul de pe endpoint. Un atacator care oprește un proces EDR nu are niciun mecanism direct de a orbi simultan infrastructura de monitorizare a rețelei.

VPN-urile și tunelurile criptate joacă un rol de sprijin în acest tablou. La nivel organizațional, impunerea trecerii întregului trafic printr-un gateway VPN monitorizat înseamnă că, chiar dacă un endpoint este compromis, calea de rețea rămâne vizibilă și supusă aplicării politicilor. Arhitecturile de acces la rețea cu încredere zero (ZTNA) extind acest lucru, solicitând verificarea continuă la nivel de rețea, nu doar la autentificarea inițială.

Pentru lucrătorii la distanță și echipele distribuite, aplicarea VPN asigură, de asemenea, că traficul provenit de la endpoint-uri potențial compromise nu ocolește complet controalele perimetrale. Stratul de rețea devine un punct de inspecție secundar pe care malware-ul care distruge EDR-ul nu îl poate opri pur și simplu.

Pași practici: combinarea VPN-urilor și a criptării alături de EDR

O arhitectură de securitate rezilientă tratează EDR-ul ca pe un strat printre altele, nu ca pe singurul mecanism de detecție. Iată pași concreți pe care organizațiile îi pot face pentru a reduce expunerea la atacurile de neutralizare a EDR-ului.

Auditați-vă politica de drivere. Windows Defender Application Control (WDAC) poate fi configurat pentru a bloca driverele cunoscute ca fiind vulnerabile înainte de a fi încărcate. Microsoft menține o listă de blocare care ar trebui aplicată activ și menținută la zi. Aceasta atacă direct tehnica BYOVD la sursă.

Activați protecția anti-manipulare a EDR-ului. Cele mai multe platforme EDR importante includ funcții de protecție anti-manipulare care fac considerabil mai dificilă oprirea agentului din spațiul utilizatorului. Aceste funcții nu sunt întotdeauna activate implicit și ar trebui verificate ca parte a oricărui audit de securitate.

Investiți în vizibilitatea la nivel de rețea. Dacă stiva actuală se bazează puternic pe telemetria endpoint-urilor, adăugați NDR sau analiza fluxurilor de rețea pentru a oferi un canal de detecție independent. Aceasta asigură că încercările de mișcare laterală și exfiltrare rămân vizibile chiar și atunci când endpoint-urile sunt compromise.

Impuneți VPN sau ZTNA pentru tot accesul la distanță. Obligarea traficului să treacă printr-un gateway monitorizat adaugă un punct de inspecție secundar. Combinați acest lucru cu politici de comunicații criptate pentru a vă asigura că nici măcar traficul interceptat nu oferă atacatorului date utilizabile.

Efectuați exerciții de simulare care presupun eșecul EDR-ului. Planurile de răspuns la incidente care presupun că EDR-ul este mereu operațional vor eșua exact în scenariile în care sunt cel mai necesare. Exersați răspunsul la scenarii în care telemetria endpoint-urilor nu este disponibilă.

Operatorii de ransomware și-au clarificat strategia: să elimine instrumentele concepute să îi oprească înainte de a-și lansa încărcătura. Organizațiile care vor face față cel mai bine sunt cele care nu se bazează pe un singur strat pentru a duce întreaga povară defensivă. Acum este momentul să vă auditați stiva de securitate, să verificați dacă există controale compensatorii la nivel de rețea și să vă asigurați că planurile de răspuns la incidente țin cont de o lume în care instrumentele de pe endpoint ar putea să nu fie acolo când aveți cea mai mare nevoie de ele.