
Innovación
Sophos alerta: ransomware comparte herramientas contra antivirus
Sophos advierte que grupos de ransomware usan y comparten un “EDR Killer” capaz de desactivar antivirus y defensas, elevando el riesgo global.
Domingo, Agosto 17, 2025
Sophos reveló que múltiples familias de ransomware, entre ellas Blacksuit, Medusa, Qilin, DragonForce e INC, están compartiendo y adaptando una herramienta avanzada diseñada para desactivar soluciones de EDR (Endpoint Detection and Response) y antivirus. Este “EDR Killer” permite a los atacantes operar sin ser detectados y lanzar ataques de ransomware con mayor efectividad.
Ransomware: Una amenaza en evolución
La investigación detalla que esta herramienta maliciosa ha dejado obsoletos los métodos anteriores empleados por ciberdelincuentes y ya se encuentra disponible en mercados clandestinos. Desde 2022, Sophos ha documentado un incremento en la sofisticación de este tipo de malware, impulsado por la mayor adopción de soluciones de seguridad para endpoints.
Entre las características más preocupantes se encuentran:
Capacidad de ataque amplia contra productos de seguridad de empresas como Sophos, Bitdefender, SentinelOne, Microsoft, McAfee y Webroot.
Ofuscación avanzada, mediante el uso de HeartCrypt para evadir detección.
Uso de certificados comprometidos, que permiten ejecutar controladores maliciosos firmados con credenciales robadas o caducadas.
Intercambio criminal, dado que la misma herramienta ha sido detectada en ataques de grupos rivales.
Casos recientes
Uno de los incidentes más destacados involucra a MedusaLocker, que aprovechó una vulnerabilidad de día cero en la plataforma de soporte remoto SimpleHelp para instalar el EDR Killer y desplegar ransomware de manera inmediata. De forma similar, RansomHub e INC emplearon versiones más sofisticadas con múltiples capas de empaquetado y cifrado para evadir defensas y permanecer más tiempo dentro de las redes atacadas.
“La disponibilidad y el uso compartido de estas herramientas incrementa la velocidad y efectividad de los ataques, acortando el tiempo de reacción de las organizaciones”, advirtieron los expertos de Sophos. El análisis concluye que el ecosistema del ransomware es más complejo de lo que se pensaba, pues combina competencia y colaboración entre grupos criminales, lo que añade un nuevo desafío para la ciberseguridad global.