El panorama de la ciberseguridad se enfrenta a una amenaza cada vez más sofisticada con la aparición del ransomware GentleKiller, una nueva variante que ha demostrado una alarmante capacidad para evadir las defensas tradicionales. Este ransomware no solo busca cifrar datos, sino que emplea una táctica particularmente insidiosa: el abuso de controladores vulnerables para desactivar más de 400 procesos de seguridad de Endpoint Detection and Response (EDR). Esta estrategia le permite operar sin ser detectado, neutralizando las herramientas diseñadas para identificar y mitigar ataques en tiempo real.
La capacidad de GentleKiller para deshabilitar EDRs representa un desafío significativo para las organizaciones en América Latina y Centroamérica. Muchas empresas en la región han invertido en soluciones EDR como una capa fundamental de su estrategia de defensa. Sin embargo, si estas soluciones pueden ser eludidas por un atacante que explota vulnerabilidades en controladores de bajo nivel, la eficacia de estas inversiones se ve comprometida. Esto subraya la necesidad crítica de una postura de seguridad proactiva y multicapa que vaya más allá de las herramientas individuales.
Cómo opera GentleKiller contra los EDR
El vector de ataque sigue un patrón documentado que las organizaciones deben conocer para defenderse:
- Carga del controlador vulnerable: El ransomware introduce un controlador legítimo pero explotable al sistema — usualmente uno con una vulnerabilidad de elevación de privilegios conocida
- Enumeración de procesos de seguridad: Identifica más de 400 procesos asociados a herramientas EDR, AV y de seguridad activos en el sistema
- Terminación privilegiada: Usa el contexto del kernel para terminar esos procesos sin que el sistema operativo los proteja
- Despliegue del payload: Con las defensas desactivadas, ejecuta el cifrado de archivos sin interferencia
Por qué las empresas LATAM son especialmente vulnerables
En BorneoCR, entendemos que la protección contra amenazas avanzadas como GentleKiller requiere un enfoque integral. Las organizaciones en Centroamérica frecuentemente operan con un SOC reducido o sin uno dedicado, lo que significa que la detección depende casi exclusivamente de herramientas automatizadas — exactamente las que GentleKiller está diseñado para desactivar.
Nuestro servicio de MDR con IA está diseñado precisamente para abordar este tipo de desafíos. Un SOC gestionado no solo monitorea sus sistemas 24/7, sino que también integra múltiples capas de detección: correlación de logs del sistema operativo, análisis de comportamiento de red, monitoreo de integridad de archivos, y telemetría de controladores cargados. Cuando un ransomware como GentleKiller intenta cargar un controlador vulnerable, nuestro equipo puede detectar la anomalía a nivel de sistema — incluso si el agente EDR es posteriormente desactivado.
Controles recomendados contra ataques BYOVD
- Lista blanca de controladores: Implementar políticas de Windows Defender Application Control (WDAC) para permitir únicamente controladores firmados y validados
- Monitoreo de carga de drivers: Alertas sobre la carga de controladores no habituales en el inventario de la organización
- Detección de herramientas de terminación de procesos: Reglas SIEM para detectar cuando procesos de seguridad son terminados de forma inusual
- Listas de bloqueo de controladores vulnerables: Microsoft y proveedores de seguridad mantienen listas actualizadas de drivers vulnerables conocidos — aplíquelas activamente
- Copia de seguridad inmutable: Mantener backups offline o en almacenamiento con protección contra escritura que no puedan ser cifrados por ransomware
Para las empresas en Costa Rica y el resto de Centroamérica, la inversión en un MDR con IA no es un lujo, sino una necesidad operacional. La complejidad de las amenazas modernas — donde el ransomware deshabilita activamente sus defensas antes de atacar — hace que la gestión interna de la seguridad sea cada vez más difícil sin el equipo y las herramientas especializadas adecuadas. BorneoCR ofrece la experiencia y la tecnología necesarias para mantener visibilidad incluso cuando el atacante intenta eliminarla.
