Nos últimos anos, os EDR killers se tornaram uma das ferramentas mais comuns em invasões modernas de ransomware: o cibercriminoso obtém privilégios elevados, implementa esse recurso para desativar as proteções e, só então, executa o criptografador. Além da técnica dominante de Bring Your Own Vulnerable Driver (BYOVD), também é frequente o uso indevido de utilitários legítimos de anti-rootkit ou de abordagens sem driver para bloquear a comunicação de soluções de detecção e resposta de endpoint (EDR) ou suspendê-las localmente. Essas ferramentas não apenas são abundantes, como também apresentam comportamento previsível e consistente, justamente por isso são tão procuradas por afiliados.

Neste post, apresentamos nossa análise sobre os EDR killers, com base na telemetria da ESET e em investigações de incidentes. A pesquisa se apoia na análise e no monitoramento de quase 90 EDR killers utilizados ativamente no ambiente real. Nosso foco vai além dos drivers vulneráveis, que dominam a maioria das discussões. Documentamos como os afiliados selecionam, adaptam e utilizam essas ferramentas em intrusões reais e o que isso significa para a atribuição e a defesa.

Também explicamos por que uma análise centrada apenas em drivers pode levar a erros de atribuição, apresentamos casos concretos de reutilização e substituição de drivers em bases de código não relacionadas e destacamos o crescimento de técnicas de interrupção sem driver, juntamente com kits comercializados e aprimorados. O resultado é uma visão clara e baseada em evidências de como os EDR killers funcionam como uma etapa previsível nas operações modernas de ransomware.

Principais pontos deste post:

  • Os EDR killers são uma parte fundamental das invasões modernas de ransomware; os afiliados priorizam uma janela curta e confiável para executar criptografadores, em vez de modificar constantemente as cargas maliciosas.
  • São os afiliados, e não os operadores, que escolhem os EDR killers; pools maiores de afiliados resultam em maior diversidade de ferramentas.
  • O mesmo driver pode aparecer em ferramentas não relacionadas, e uma mesma ferramenta pode migrar entre diferentes drivers. Por isso, a atribuição baseada apenas em drivers tende a ser enganosa.
  • Modelos como packer as a service e “EDR killer as a product” ampliam a disponibilidade dessas ferramentas, dificultam a atribuição e aumentam a complexidade da defesa.
  • Os EDR killers concentram-se em técnicas de evasão de defesa, enquanto os criptografadores têm foco exclusivo na criptografia.
  • Há fortes indícios de que a IA tenha auxiliado no desenvolvimento de alguns EDR killers; apresentamos um exemplo concreto envolvendo o grupo Warlock.
  • Embora o BYOVD predomine, também são utilizados scripts personalizados, ferramentas anti-rootkit e EDR killers sem driver.

O cenário dos EDR killers

Os pesquisadores da ESET vão além do foco nos drivers vulneráveis, frequentemente utilizados por essas ferramentas. Como demonstramos, estabelecer conexões com base apenas no uso indevido de drivers é insuficiente e pode levar a conclusões equivocadas.

O cenário revelado por essa pesquisa é amplo, variando de inúmeras bifurcações de provas de conceito (PoCs) a implementações profissionais complexas. O foco em EDR killers comerciais, anunciados na dark web, permite compreender melhor sua base de clientes e identificar possíveis afiliações ocultas. Já os EDR killers desenvolvidos internamente oferecem insights sobre o funcionamento de grupos mais fechados. Além disso, o uso de vibe coding torna esse cenário ainda mais complexo. Apresentamos uma visão técnica dos EDR killers, incluindo o uso de drivers vulneráveis, na seção A tecnologia por trás dos EDR killers.

No momento da redação deste post, nossa visão do cenário de EDR killers se baseia nos seguintes pontos:

  • Detectamos quase 90 EDR killers sendo utilizados ativamente em ataques reais por grupos de ransomware de diferentes portes.
  • 54 deles são baseados em BYOVD, explorando um total de 35 drivers vulneráveis.
  • 7 são baseados em scripts.
  • 15 utilizam anti-rootkits ou outros softwares disponíveis gratuitamente.

Para 24 dos EDR killers baseados em BYOVD, não há evidências de uma PoC pública que tenha servido como base; avaliamos que seus desenvolvedores criaram essas ferramentas do zero, inspirando-se apenas no código de exploração dos drivers.

Ao longo deste blogpost, utilizamos os seguintes termos para descrever as entidades envolvidas no modelo de ransomware como serviço:

  • Operadores, responsáveis por desenvolver a carga de ransomware, gerenciar chaves de descriptografia, manter sites de vazamento de dados, negociar pagamentos com as vítimas e oferecer ferramentas e serviços mediante assinatura ou participação no resgate, geralmente entre 5% e 20%.
  • Afiliados, que alugam esses serviços, realizam a invasão dos ambientes, implantam os criptografadores nas redes das vítimas e realizam a exfiltração de dados.

Por que os EDR killers são tão populares?

Para criptografar dados com sucesso, os criptografadores de ransomware precisam evitar a detecção. Atualmente, existe uma ampla variedade de técnicas maduras de evasão, desde empacotamento e virtualização de código até métodos avançados de injeção. No entanto, essas técnicas raramente são implementadas diretamente nos criptografadores. Em vez disso, os cibercriminosos optam por utilizar EDR killers para desativar as soluções de segurança imediatamente antes da execução do criptografador. Essa abordagem levanta uma questão natural: por que não investir em tornar os próprios criptografadores indetectáveis?

Confiabilidade e simplicidade operacional

Grupos de ransomware, especialmente aqueles que operam no modelo de ransomware como serviço (RaaS), frequentemente lançam novas versões de seus criptografadores. Garantir que cada uma delas permaneça indetectável de forma consistente é um processo complexo e demorado. Além disso, os criptografadores são, por natureza, altamente ruidosos, já que modificam um grande volume de arquivos em pouco tempo, o que dificulta sua ocultação.

Os EDR killers oferecem uma alternativa mais eficiente: em vez de incorporar mecanismos complexos de evasão em cada nova versão do malware, os invasores utilizam uma ferramenta externa para desativar as proteções antes da execução. Isso mantém os criptografadores mais simples, estáveis e fáceis de atualizar.

Baixo custo e alto impacto

Como demonstrado ao longo deste blogpost, os EDR killers são amplamente acessíveis. Nem todos os cibercriminosos ou afiliados possuem conhecimento técnico para desenvolver técnicas próprias de evasão, mas a disponibilidade de inúmeras provas de conceito públicas torna essas ferramentas praticamente “plug and play”.

Além disso, muitos EDR killers se baseiam em drivers legítimos, porém vulneráveis, o que dificulta sua mitigação sem impactar sistemas corporativos ou softwares legados. O resultado é uma ferramenta com impacto em nível de kernel e baixo custo de desenvolvimento, tornando-a desproporcionalmente poderosa em relação à sua simplicidade.

Previsibilidade e repetibilidade nas invasões

Técnicas como empacotamento e injeção de código podem ajudar a evitar a detecção inicial, mas não garantem estabilidade durante a fase final do ataque. Devido às camadas de proteção das soluções de segurança, cargas maliciosas ainda podem ser detectadas em memória ou em etapas posteriores da execução.

Já os EDR killers introduzem uma etapa previsível e repetível na cadeia de ataque, oferecendo um fluxo de execução mais controlado para os invasores. Ao interromper a solução de segurança como um todo, essas ferramentas eliminam múltiplas camadas de proteção de uma só vez, aumentando significativamente as chances de sucesso do ataque.

A tecnologia por trás dos EDR killers

Scripts

Os EDR killers mais simples não dependem de drivers vulneráveis nem de técnicas avançadas. Em vez disso, utilizam indevidamente ferramentas e comandos administrativos nativos, como taskkill, net stop e sc delete, para interferir em processos e serviços de soluções de segurança. Embora essas abordagens ainda apareçam ocasionalmente, hoje estão mais associadas a grupos de ransomware com menor nível técnico e a malwares de commodity.

Variantes um pouco mais sofisticadas combinam a criação de scripts com o uso do Modo de Segurança do Windows. Como esse modo carrega apenas um conjunto mínimo de componentes do sistema operacional e normalmente não inclui soluções de segurança, o malware encontra mais facilidade para desativar proteções. No entanto, essa técnica é bastante ruidosa, pois exige a reinicialização do sistema, o que a torna arriscada e pouco confiável em ambientes desconhecidos. Por isso, seu uso é relativamente raro em ataques reais.

Zona cinzenta: Anti-rootkits

Anos atrás, antes da Microsoft impor a obrigatoriedade de assinatura de drivers em modo kernel, os rootkits prosperavam no ecossistema do cibercrime, ocultando atividades maliciosas por meio da manipulação de estruturas do kernel. Essa prevalência levou ao desenvolvimento de ferramentas anti-rootkit especializadas, projetadas para detectá-los e removê-los. Como os rootkits operam em nível de kernel, essas ferramentas exigem privilégios elevados e utilizam seus próprios drivers para identificar, analisar e neutralizar essas ameaças.

Atualmente, afiliados de ransomware passaram a abusar dessas mesmas ferramentas anti-rootkit, não para remover rootkits, mas para comprometer soluções de segurança. Muitos desses programas oferecem interfaces gráficas amigáveis, permitindo que usuários, inclusive com baixo nível técnico, encerrem processos ou serviços protegidos. Em outras palavras, ferramentas legítimas de remediação acabam se tornando EDR killers quando utilizadas de forma maliciosa. Entre elas estão o GMER (veja a Figura 1), o HRSword e o PC Hunter.

Figure_01_GMER
Figura 1. A GUI do GMER, uma solução anti-rootkit popular.

Rootkits

Embora os rootkits sejam raros no cibercrime moderno, ainda surgem exceções relevantes. Um exemplo recente é o ABYSSWORKER, um rootkit em modo kernel que chamou a atenção após seus criadores conseguirem assiná-lo com certificados roubados de empresas chinesas. Esses certificados também foram utilizados para assinar outros malwares, ou seja, não são exclusivos do ABYSSWORKER. Como pertencem a uma cadeia de confiança válida, o driver ainda pode ser executado no kernel. Para agravar o cenário, nem mesmo a revogação desses certificados é uma solução totalmente eficaz, como demonstrado recentemente pela Huntress.

Drivers vulneráveis

A técnica BYOVD se consolidou como a principal característica dos EDR killers modernos, sendo dominante, confiável e amplamente utilizada. Em um cenário típico, o invasor introduz um driver legítimo, porém vulnerável, no sistema da vítima, instala esse driver e, em seguida, executa um malware que explora sua vulnerabilidade. O objetivo é encerrar processos protegidos ou desativar mecanismos dos quais as soluções de segurança dependem.

Embora existam milhares de drivers vulneráveis legítimos, apenas uma parcela relativamente pequena é explorada ativamente em incidentes de ransomware. Ainda assim, a disponibilidade de provas de conceito públicas praticamente elimina barreiras para que cibercriminosos adotem ou adaptem esses exploits. Alguns reutilizam códigos existentes com poucas ou nenhuma modificação; outros reimplementam a lógica em diferentes linguagens; e há ainda aqueles que desenvolvem EDR killers totalmente novos, mantendo apenas trechos do código original responsáveis pela exploração do driver, seja para uso próprio ou oferta como serviço.

EDR killers sem driver

Por fim, uma classe menor, mas em crescimento, de EDR killers atinge seus objetivos sem interagir diretamente com o kernel. Em vez de encerrar processos de EDR, essas ferramentas interferem em funcionalidades críticas. Exemplos incluem soluções como o EDRSilencer, que bloqueia a comunicação entre o endpoint e o backend de segurança, e o EDR-Freeze, que faz com que os processos de EDR travem ou deixem de responder. Essas técnicas driverless ganham popularidade por sua abordagem não convencional, que dificulta a detecção e a mitigação, além de muitas dessas ferramentas estarem disponíveis publicamente. Pesquisadores da ESET observaram a rápida adoção dessas abordagens por grupos de ransomware, em alguns casos poucos dias após sua disponibilização.

Quem desenvolve os EDR killers?

Em 2025, pesquisadores da ESET publicaram uma análise do EDRKillShifter, um EDR killer desenvolvido pelos operadores do RansomHub e disponibilizado diretamente aos seus afiliados. Até o momento, não há evidências de outros programas de RaaS cujos operadores ofereçam EDR killers proprietários. Isso torna o já extinto RansomHub uma exceção relevante no cenário de ransomware.

Na maioria dos casos, os cibercriminosos se enquadram em uma das seguintes categorias:

  • Grupos fora do modelo RaaS que desenvolvem seus próprios EDR killers.
  • Cibercriminosos que bifurcam e fazem pequenas modificações em códigos públicos de prova de conceito.
  • Invasores que adquirem EDR killers em mercados clandestinos.

A seguir, analisamos cada um desses cenários com mais detalhes.

Grupos fechados

Grupos que não operam no modelo de RaaS geralmente funcionam como ecossistemas totalmente fechados, sem afiliados, corretores de acesso inicial ou parceiros externos. Essas gangues mantêm controle rigoroso sobre seus fluxos de intrusão e costumam adotar um conjunto de TTPs consistente e repetível. Nesse contexto, o desenvolvimento de EDR killers próprios se torna uma extensão natural de seu arsenal.

Pesquisadores da ESET destacaram um exemplo desse modelo em 2024 com a gangue Embargo. Na ocasião, o grupo utilizava dois EDR killers:

  • Um script personalizado em Modo de Segurança, explorando a técnica já mencionada anteriormente.
  • O MS4Killer, uma ferramenta baseada no PoC público s4killer.

Embora o MS4Killer tenha origem em um código público, seus desenvolvedores realizaram modificações relevantes, como a adição de paralelismo, alterações no fluxo de execução e a criptografia de cadeias de caracteres e do driver incorporado. Desde então, a Embargo passou a utilizar outro PoC público, o evil-mhyprot-cli, desta vez com mudanças mínimas.

Um exemplo mais recente é a gangue DeadLock, que mantém um perfil discreto, sem site próprio de vazamento de dados, conduzindo negociações por meio do Session, uma alternativa ao Tox. Pesquisadores da ESET observaram que o grupo utiliza dois EDR killers, o DLKiller, também mencionado como um loader sem nome pelo Cisco Talos, e o Susanoo, além de ferramentas anti-rootkit como GMER e PC Hunter.

Há indícios, ainda que com baixo grau de confiança, de que o DLKiller e o criptografador do DeadLock tenham sido desenvolvidos pelo mesmo autor, devido a semelhanças no código, embora isso não seja conclusivo. Um ponto interessante é que o Susanoo apresenta uma tela de carregamento e uma interface gráfica, permitindo interação manual e indicando que o ataque pressupõe acesso interativo ao sistema da vítima.

Figure_02_Susanoo
Figura 2. Tela de carregamento (esquerda) e GUI (direita) do Susanoo EDR killer.

Como a captura de tela demonstra, o Susanoo oferece botões para pré-carregar listas de processos monitorados: um dedicado a processos relacionados ao Sophos e outro, denominado “TNT”, que mira todos os processos conhecidos pela ferramenta.

O terceiro e último exemplo é o Warlock. Embora seu site de vazamentos esteja inativo desde 6 de novembro de 2025, o grupo segue operacional e continua expandindo seu arsenal técnico. O grupo cibercriminoso é conhecido por sua disposição em experimentar: adaptou a técnica de abuso do VS Code para acesso remoto furtivo, documentada anteriormente em setembro de 2024 e associada ao grupo APT Mustang Panda, além de ter sido pioneiro no no uso malicioso do Velociraptor. Desde então, o Warlock vem se apoiando consistentemente nessas abordagens. Sua estratégia com criptografadores também reflete esse padrão experimental. Ao longo do tempo, o grupo utilizou diferentes variantes, desde desenvolvimentos próprios até versões baseadas no Babyk ou geradas a partir do builder vazado do LockBit Black.

Diante desse histórico, não surpreende que o Warlock também experimente com EDR killers. Desde seu surgimento, o grupo tem implantado múltiplas ferramentas desse tipo em uma mesma intrusão, em alguns casos chegando a dezenas durante operações recentes, em uma tentativa deliberada de garantir que ao menos uma abordagem funcione. O arsenal do Warlock se destaca não apenas pela quantidade, mas também pela sofisticação técnica. O grupo não se limita a um único driver vulnerável e já explorou pelo menos nove drivers diferentes, incluindo alguns sem PoCs públicas conhecidas. Esse comportamento evidencia tanto sua capacidade técnica quanto sua habilidade de adaptar ferramentas ofensivas além do que está amplamente disponível.

Modificação de uma PoC

Essa é, de longe, a abordagem mais comum observada em invasões de ransomware. Os cibercriminosos frequentemente utilizam uma PoC já existente e bem testada, ajustando apenas componentes não críticos antes de aplicá-la em ataques reais. Essas modificações costumam incluir:

  • Remoção ou alteração de mensagens de depuração.
  • Adição de ofuscação de código.
  • Ajustes na lista de produtos de segurança visados.
  • Reescrita da ferramenta em outra linguagem de programação.

O ponto central, no entanto, permanece inalterado: a lógica de exploração, especialmente a parte que interage com o driver vulnerável, quase nunca é modificada. Em geral, essa lógica se resume a chamadas à API DeviceIoControl do Windows, utilizando um valor dwIoControlCode adequado e informando, em lpInBuffer, o nome do processo a ser encerrado.

Embora ações como renomear cadeias de caracteres, reorganizar o código ou reimplementar a ferramenta em outra linguagem não exijam grande conhecimento técnico, alterar a lógica de exploração demanda um nível mais elevado de especialização e, por isso, costuma ser evitado.

Apesar da ampla disponibilidade de PoCs públicas para EDR killers, um repositório se destaca: o BYOVD da BlackSnufkin. Atualizado com frequência, ele reúne, até o momento da publicação deste artigo, PoCs para a exploração de 10 drivers vulneráveis, todos implementados em um modelo modular. Essa estrutura facilita modificações, extensões e o suporte a novos drivers. Além disso, o código é bem documentado (veja a Figura 3), o que torna esse repositório um dos mais utilizados em operações de ransomware no ambiente real.

Figure_03_BlackSnufkin
Figura 3. BdApiUtil-Killer, um dos PoCs do BlackSnufkin com um guia de uso detalhado

Detectamos um dos EDR killers da BlackSnufkin, o TfSysMon-Killer, sendo utilizado durante um ataque de ransomware Monti em fevereiro de 2025. A variante empregada mantinha a mesma funcionalidade, mas foi reimplementada de Rust para C++, provavelmente para se alinhar ao restante do conjunto de ferramentas do agente de ameaça. Outro exemplo de mudança de linguagem é o dead-av, que seu próprio autor descreve abertamente como uma reescrita em Go do GhostDriver, outro PoC desenvolvido pela BlackSnufkin.

Um nível mais avançado de modificação pode ser observado no SmilingKiller, um EDR killer identificado recentemente por pesquisadores da ESET em ataques conduzidos pelos grupos LockBit e Dire Wolf. Seu desenvolvimento foi inspirado no kill-floor, um PoC que explora o driver aswArPot.sys, da Avast. Além de alterar mensagens de depuração e incorporar técnicas de ofuscação por achatamento de fluxo de controle (veja a Figura 4), o autor também substituiu o driver explorado por K7RKScan.sys, o mesmo utilizado pelo K7Terminator, outro PoC do repositório BlackSnufkin.

Figure_04_SmilingKiller_KillFloor
Figura 4. Semelhanças de código entre kill-floor (esquerda, vermelho) e SmilingKiller (azul, direita), com semelhanças específicas destacadas em rosa.

EDR killer como serviço

Diante da crescente demanda por ferramentas capazes de desativar soluções de EDR, surgiu um mercado paralelo de EDR killers comerciais. As ofertas são bastante variadas: alguns anúncios apresentam apenas descrições genéricas, sem detalhes técnicos, enquanto outros incluem listas extensas de funcionalidades, instruções de uso e até demonstrações em vídeo. A seguir, destacamos alguns exemplos relevantes.

Um desses casos, divulgado pela Flare em outubro de 2025, foi publicado por um agente de ameaça conhecido como Бафомет. Ele anunciou um EDR killer que posteriormente foi denominado DemoKiller pelos pesquisadores da ESET. Dados de telemetria da ESET indicam que o DemoKiller foi utilizado por afiliados de grupos como Qilin, Akira e Gentlemen, além de ter sido observado em uma intrusão associada ao RansomHouse. O anúncio original pode ser visto na Figura 5.

Figure_05_DemoKiller_ad
Figura 5. O anúncio do DemoKiller (fonte: Flare).

Outro EDR killer pago gira em torno do rootkit ABYSSWORKER, discutido anteriormente neste blogpost. Quando combinado com seu componente de carregamento, o HeartCrypt, que os pesquisadores da ESET denominaram AbyssKiller, essa ferramenta se tornou uma das soluções comerciais mais observadas em ataques reais. A telemetria da ESET indica que o AbyssKiller foi utilizado por afiliados de grupos como Medusa, DragonForce e BlackSuit, atualmente em processo de desarticulação.

Outro exemplo relevante é o EDR killer que chamamos de CardSpaceKiller. Essa ferramenta é consistentemente empacotada com o VX Crypt, um serviço de packer as a service relativamente recente, analisado pela Sophos no final de 2025. O VX Crypt não é exclusivo desse EDR killer, tendo sido utilizado também para proteger outras famílias de malware, como o BumbleBee. De acordo com a Sophos, o CardSpaceKiller foi identificado em intrusões associadas a grupos como Akira, Medusa, Qilin e Crytox. A telemetria da ESET reforça essas conclusões e ainda aponta seu uso em incidentes envolvendo o MedusaLocker. A análise do payload descompactado indica claramente sua origem comercial, evidenciada por elementos como mensagens de aviso voltadas a lidar com possíveis falhas ou casos extremos (veja a Figura 6).

Figure_06_CardSpaceKiller
Figura 6. Parte do código do CardSpaceKiller demonstrando a tentativa do desenvolvedor de lidar com casos extremos que podem ocorrer com os clientes.

A natureza e o preço dessas ferramentas comercializadas variam consideravelmente. Algumas ofertas incluem o código-fonte, enquanto outras disponibilizam apenas versões compiladas. Em geral, os valores são definidos por negociação direta, mas, quando divulgados publicamente, costumam variar de algumas centenas a milhares de dólares.

EDR killers e IA

Embora o conjunto de drivers vulneráveis explorados permaneça relativamente limitado, o número de componentes em modo usuário presentes nos EDR killers modernos cresce rapidamente. Diante desse aumento em volume e diversidade, surge uma questão natural: a IA está contribuindo para essa proliferação?

Determinar se a IA participou diretamente do desenvolvimento de um código específico é, na prática, muito difícil. Não há um marcador forense definitivo capaz de diferenciar, com precisão, código gerado por IA de código escrito por humanos, especialmente quando há pós-processamento ou ofuscação por parte dos cibercriminosos. Ainda assim, pesquisadores da ESET avaliam que alguns EDR killers recentes apresentam características que sugerem fortemente o uso de geração assistida por IA.

Um exemplo claro foi observado em uma ferramenta utilizada pelo grupo Warlock. Esse EDR killer contém um trecho de código que não apenas exibe uma lista de possíveis correções, um padrão típico de boilerplate gerado por IA, como também adota uma abordagem de tentativa e erro. Em vez de explorar um driver específico, a ferramenta percorre diversos nomes de dispositivos, muitas vezes não relacionados, até encontrar um que funcione. O código correspondente é apresentado na Figura 7.

Figure_07_AI
Figura 7. Código provavelmente gerado por IA de um EDR killer utilizado pelo Warlock.

Além dos drivers

Para compreender plenamente o ecossistema dos EDR killers, é necessário ir muito além dos drivers vulneráveis. Embora sua exploração continue sendo um elemento central em muitas ferramentas, ela representa apenas uma parte de um cenário bem mais amplo. Nossa pesquisa mostra que focar exclusivamente nos drivers pode ocultar relações relevantes entre ferramentas, afiliados e grupos de atividade.

Um ponto importante é a divisão de responsabilidades nos ecossistemas de ransomware como serviço (RaaS). Em geral, os operadores fornecem o criptografador e a infraestrutura de suporte, enquanto a escolha do EDR killer fica a cargo dos afiliados. Isso significa que, quanto maior o número de afiliados, maior tende a ser a diversidade de ferramentas utilizadas. Ao mesmo tempo, a reutilização consistente de determinadas ferramentas dentro de clusters específicos pode ajudar a identificar novas afiliações, reforçar vínculos de infraestrutura e revelar relações entre operadores e afiliados que passariam despercebidas se a análise se limitasse apenas às famílias de criptografadores.

Reutilização e troca de drivers

A ampla disponibilidade de PoCs públicas tornou a exploração de drivers acessível a um grande número de cibercriminosos, mas também criou um cenário enganoso: o mesmo driver vulnerável é frequentemente reutilizado em EDR killers não relacionados, enquanto uma mesma ferramenta pode empregar diferentes drivers ao longo do tempo. Como resultado, a atribuição baseada exclusivamente no driver tende a ser imprecisa.

Um exemplo claro é o driver BdApiUtil.sys, do Baidu Antivirus, presente em diversos projetos independentes, como:

  • dead-av;
  • BdApiUtil-Killer;
  • DLKiller;
  • HexKiller, um dos EDR killers utilizados pelo Warlock;
  • SevexKiller, observado recentemente em ataques do grupo Akira.

O mesmo padrão se repete com o driver TfSysMon.sys (ThreatFire System Monitor), utilizado por ferramentas como TfSysMon-Killer, Susanoo e EDRKillShifter, que possuem bases de código e históricos de desenvolvimento distintos.

A troca de drivers também é comum. O CardSpaceKiller, por exemplo, inicialmente utilizava o driver HwRwDrv.sys, mas versões posteriores migraram para o ThrottleStop.sys, com poucas alterações na lógica restante. Nesse contexto, o driver funciona como um componente intercambiável, enquanto a camada de exploração permanece praticamente a mesma.

Isso evidencia um ponto mais amplo: drivers vulneráveis se tornaram um recurso de commodity, e sua utilização, por si só, oferece pouca informação sobre o nível de sofisticação ou sobre possíveis relações entre os cibercriminosos.

Evasão de detecção

Os cibercriminosos não investem grandes esforços para tornar seus criptografadores indetectáveis. Em vez disso, as técnicas mais avançadas de evasão de defesa são concentradas nos componentes em modo usuário dos EDR killers. Essa tendência é especialmente visível em ferramentas comerciais, que frequentemente incorporam recursos sofisticados de antianálise e antidetecção. Entre as técnicas mais recorrentes, destacam-se:

  • Desacoplamento do driver: o EDR killer e o driver são distribuídos separadamente. Os afiliados instalam primeiro o driver e verificam seu carregamento antes de executar o componente principal.
  • Uso de empacotadores comerciais: soluções como VX Crypt, utilizado no CardSpaceKiller, e HeartCrypt, no AbyssKiller, oferecem ofuscação estrutural, mecanismos anti-VM e reempacotamento contínuo para evitar detecção por assinaturas. Ferramentas de virtualização de código, como VMProtect e Themida, também são amplamente utilizadas.
  • Drivers criptografados: quando incluídos no pacote, os drivers costumam estar armazenados de forma criptografada.
  • Cargas externas criptografadas: alguns EDR killers mantêm shellcodes ou componentes auxiliares em arquivos separados e criptografados, dificultando o acesso e a análise por parte dos defensores.
  • Ofuscação de código: técnicas comuns incluem achatamento de fluxo de controle, resolução de chamadas por hash e ofuscação de strings.
  • Proteção por senha: ferramentas como o EDRKillShifter utilizam esse recurso para proteger partes críticas do código, o que dificulta a detecção, mas também pode abrir novas oportunidades para análise por pesquisadores.

Defesa contra ransomware e EDR killers

A defesa contra ransomware exige uma abordagem diferente daquela utilizada contra ameaças automatizadas. Enquanto ataques como phishing, malware de commodity ou cadeias de exploração tendem a ser interrompidos quando detectados, invasões de ransomware não seguem essa lógica. Trata-se de operações interativas, conduzidas por humanos, nas quais os invasores se adaptam continuamente a detecções, falhas de ferramentas e obstáculos do ambiente.

Por isso, mesmo quando etapas específicas são identificadas, elas só têm valor defensivo se houver uma resposta imediata e eficaz por parte dos defensores, seja de uma equipe interna de SOC, um MSSP ou um provedor de MDR.

A maioria dos EDR killers depende de drivers legítimos, porém vulneráveis, o que leva muitos defensores a priorizarem o bloqueio desses drivers. Embora essa medida seja importante e possa neutralizar a ferramenta, ela geralmente ocorre no momento mais crítico possível. Quando o invasor tenta instalar o driver, ele já costuma ter privilégios elevados e está a poucos passos de executar o criptografador. Caso a tentativa falhe, é comum que simplesmente utilize outra ferramenta.

Além disso, como esses drivers são legítimos, bloqueios excessivamente restritivos podem impactar sistemas e aplicações críticas para o negócio, dificultando a resposta a incidentes. Mesmo estratégias mais direcionadas enfrentam desafios. Em fevereiro de 2025, a Check Point demonstrou que cibercriminosos conseguiram gerar milhares de variações do driver Truesight.sys, todas com assinaturas válidas devido a falhas no processo de verificação. Um ano depois, em fevereiro de 2026, a Huntress analisou um incidente em que o driver EnPortv.sys foi explorado mesmo com seu certificado expirado e revogado.

Diante desse cenário, uma estratégia baseada em prevenção se torna essencial. Bloquear drivers frequentemente explorados é uma medida necessária, mas insuficiente por si só. A análise dos EDR killers permite desenvolver uma defesa em camadas, ampliando a visibilidade e a capacidade de resposta. O objetivo deve ser interromper o EDR killer antes de sua execução. Em última instância, a estratégia mais eficaz contra ransomware é aquela capaz de detectar, conter e remediar a ameaça em múltiplas etapas do ataque.

Principais conclusões

Os EDR killers persistem porque são acessíveis, consistentes e desacoplados do criptografador, tornando-se uma solução ideal tanto para desenvolvedores de ransomware, que não precisam focar em tornar seus criptografadores indetectáveis, quanto para afiliados, que dispõem de uma ferramenta prática e eficaz para desativar defesas antes da criptografia.

Nossa pesquisa traz insights baseados em telemetria sobre o ecossistema de EDR killers, indo além da abordagem tradicional centrada em drivers. Demonstramos como os afiliados, e não os operadores, influenciam a diversidade de ferramentas, além de evidenciar como bases de código reutilizam e substituem drivers com frequência. Também destacamos o crescimento das ofertas comerciais de EDR killers e como essas soluções incorporam técnicas avançadas de evasão que, muitas vezes, não estão presentes nos criptografadores.

Reforçamos que, embora impedir o carregamento de drivers vulneráveis seja uma etapa importante na defesa, essa medida pode gerar impactos operacionais e não deve ser a única estratégia adotada. O ideal é buscar interromper os EDR killers antes mesmo da tentativa de carregamento do driver. Além disso, abordagens sem driver, sejam baseadas em scripts ou na exploração de vulnerabilidades, vêm ganhando espaço e ampliando o arsenal dos operadores de ransomware.

Para dúvidas sobre esta pesquisa publicada no WeLiveSecurity, entre em contato pelo e-mail:threatintel@eset.com. 

Indicadores de Comprometimento

Uma lista abrangente de indicadores de comprometimento (IoCs) e amostras pode ser encontrada em nosso repositório GitHub.

Arquivos

SHA-1 Filename Detection Description
54547180A99474B0DBA289D92C4A8F3EEA78B531
 2Gk8.exe
 Win32/Loader.Lycaon.Y.gen AbyssKiller EDR killer.
75F85CAEA52FE5A124FA77E2934ABD3161690ADD
 smuot.sys
 Win64/Rootkit.Agent.DX The ABYSSWORKER rootkit.
002573D80091F7F8167BCBDA3A402B85FA915F19
 lasdjfioasdjfioer.exe
 Win64/HackTool.EDRSilencer.C EDRSilencer EDR killer.
1E7567C0D525AD037FBBBAFB643BF40541994411
 EDR-Freeze.exe
 Win64/HackTool.EDRFreeze.A EDR-Freeze EDR killer.
65C2388B0AFB1D1F1860BB887456D8D6CD8B5645
 Killer.exe
 Win64/KillAV.DQ EDRKillShifter EDR killer.
A9F37104D2D89051F34E1486BC6EBFF44D147E67
 EDRGay.exe
 Win32/KillAV.NVJ DLKiller EDR killer.
083F604377D74C4377822EF35021E34AD7DACEEA
 susanoo.exe
 Win64/KillAV.CQ Susanoo EDR killer.
570161A420992280A8ECED253EDC800296B72D1C
 vmtools.exe
 Win32/KillAV.NVL HexKiller EDR killer.
BBE0E14BC7ECE8A7A1236D5A12E30476CFCEF110
 Test.exe
 WinGo/KillAV.M SevexKiller EDR killer.
31CE76931CA09D3918B34E3187703BC72E6D647E
 TfSysMon-Killer.exe
 Win64/KillAV.DP TfSysMon-Killer EDR killer.
B9820BF443C375577CEEF44B9491E3A569A1B9E8
 deadav.exe
 WinGo/KillAV.L dead-av EDR killer.
34270B07538B7357CF10D0D5BDA68F234B602F93
 zcasdfhsdjfhoqewruoqwe.exe
 Win64/KillAV.DP GhostDriver EDR killer.
09735640D6634B0303755A9FD3B2BC80F932126C
 pip.exe
 Win32/KillAV.NVQ SmilingKiller EDR killer.
85BC0A4F67522D6AC6BE64D763E65A2945EC5028
 kill-floor.exe
 Win64/KillAV.AV kill-floor EDR killer.
711C95FEAD2215E9AC59E32E6E3B0D71AD5C5AA5
 demor.exe
 Win64/Agent.GAJ DemoKiller EDR killer.
BC65ED919988C8E4B8F5A1CD371745456601700A
 demo.exe
 Win64/KillAV.DR DemoKiller EDR killer.
148C0CDE4F2EF807AEA77D7368F00F4C519F47EF
 BdApiUtil64.sys
drivergay.sys
Gosling.sys
kihost.sys
 Win64/VulnDriver.Baidu.D Baidu Antivirus BdApi vulnerable driver.
468121E7D6952799F92940677268937C4C5F92ED
 K7RKScan.sys
K7RKScan_1516.sys
wamsdk.sys
 Win64/VulnDriver.K7Computing.A K7RKScan Kernel Module vulnerable driver.
C881F43C7FE94A6F056A84DA8E9A32FE56D8DD9C
 elliot.sys
kill.sys
TfSysMon.sys
WatchMgrs.sys
 Win64/Riskware.PCTools.A ThreatFire System Monitor vulnerable driver.
67D17CA90880B448D5C3B40F69CEC04D3649F170
 1721894530.sys
rentdrv2.sys
 Win64/VulnDriver.RentDrv.A Rentdrv2 vulnerable driver.
F329AE0FDF1E198BEA6BA787E59CB73F90714002
 data.sys
 Win64/VulnDriver.AMD.E USB-C Power Delivery Firmware Update Utility vulnerable driver.
82ED942A52CDCF120A8919730E00BA37619661A3
 NitrogenK.sys
rwdrv.sys
ThrottleBlood.sys
ThrottleStop.sys
 Win64/VulnDriver.GPUZ.B ThrottleStop vulnerable driver.
CE1B9909CEF820E5281618A7A0099A27A70643DC
 hlpdrv.sys
 Win64/Agent.GRL Custom rootkit used by CardSpaceKiller.
5D6B9E80E12BFC595D4D26F6AFB099B3CB471DD4
 aswArPot.sys
kallmekris.sys
 Win64/VulnDriver.Avast.A Avast anti-rootkit vulnerable driver.
7310D6399683BA3EB2F695A2071E0E45891D743B
 probmon.sys
Sysprox.sys
 Win64/VulnDriver.ITMSystem.A ITM SYSTEM File Filter vulnerable driver.
C85C9A09CD1CB1691DA0D96772391BE6DDBA3555
 kl.sys
rspot.sys
 Win64/VulnDriver.Rising.A Beijing Rising Network Security vulnerable driver.
6EE94F6BDC4C4ED0FFF621FEC36C70FF093659ED
 msupdate.sys
thelper.sys
 Win32/IP-guard.E OCular THelper vulnerable driver.
BA14C43031411240A0836BEDF8C8692B54698E05
 praxisbackup.exe
 Win64/Agent.ECW MS4Killer EDR killer.
127B50C8185986A52AE66BF6E7E67A6FD787C4FC
 version.dll
 Win64/KillAV.CardSpaceKiller.C CardSpaceKiller EDR killer.
A3BDB419703A70157F2B7BD1DC2E4C9227DD9FE8
 0th3r_av5.exe
 Win64/KillAV.CardSpaceKiller.A CardSpaceKiller EDR killer.
4A57083122710D51F247367AFD813A740AC180A1
 DrKiller_Cry_0x000E25C5DF65A3A.exe
 Win64/Kryptik.FBC CardSpaceKiller EDR killer.
DB8BCB8693DDF715552F85B8E2628F060070F920
 HwRwDrv.sys
MegaDrov.sys
 Win64/VulnDriver.HwRwDrv.C CardSpaceKiller EDR killer.

Técnicas do MITRE ATT&CK

Esta tabela foi criada usando a versão 18 da estrutura MITRE ATT&CK.

Tactic ID Name Description
Execution T1059.003 Command and Scripting Interpreter: Windows Command Shell Script-based EDR killers use taskkill, sc, net stop, and similar commands to tamper with protection.
T1569.002 System Services: Service Execution EDR killers execute vulnerable drivers as services.
Persistence T1543.003 Create or Modify System Process: Windows Service Some EDR killers may create services to run during Safe Mode or at next boot.
T1037.001 Boot or Logon Initialization Scripts: Logon Script (Windows) EDR killers register scripts and services to run early at boot to interfere with EDR loading.
Privilege Escalation T1068 Exploitation for Privilege Escalation BYOVD-based EDR killers exploit vulnerable drivers to escalate kernel-level privileges.
Defense Evasion T1562.001 Impair Defenses: Disable or Modify Tools EDR killers terminate or suspend EDR/AV processes and services to bypass detection.
T1562.009 Impair Defenses: Safe Mode Boot Script-based EDR killers reboot systems into Safe Mode to tamper with security components.
T1070.004 Indicator Removal: File Deletion EDR killers may attempt to delete EDR/AV files to disable protections.
T1562.006 Impair Defenses: Indicator Blocking Driverless EDR killers block telemetry and network communication (e.g., EDRSilencer).
T1027 Obfuscated Files or Information Commercial EDR killers especially use obfuscation and encryption (e.g., CardSpaceKiller).
T1027.009 Obfuscated Files or Information: Embedded Payloads Some EDR killers embed the drivers directly into their user-mode components, often encrypted.
T1027.002 Obfuscated Files or Information: Software Packing Commercial EDR killers rely on packers like HeartCrypt or VX Crypt, and also advanced code protectors like Themida and VMProtect.
T1027.005 Obfuscated Files or Information: Indicator Removal from Tools EDR killers like SmilingKiller use control-flow flattening and code obfuscation.
T1140 Deobfuscate/Decode Files or Information Some EDR killers store encrypted drivers and shellcode in dedicated files on disk.
Impact T1490 Inhibit System Recovery Some EDR killers delete or rename security-related files, impacting recovery.
T1489 Service Stop EDR killers stop protected services of security products and tamper with their functionality.