EDR無効化ツールがランサムグループ間で大流行 複数ベンダーの製品が標的か：セキュリティニュースアラート

SophosはEDR無効化ツールの分析結果を公表し、複数のランサムウェア攻撃において、難読化や偽装ドライバーを使った検出回避の手法が確認された。脅威グループ間での技術共有の兆候があり、攻撃のエコシステム化が進んでいる。

[後藤大地，有限会社オングス]

　Sophosは2025年8月6日（現地時間）、複数のランサムウェア攻撃で利用されているEDR（Endpoint Detection and Response）無効化ツールの分析結果を発表した。

　ランサムウェアグループ「RansomHub」が作成した「EDRKillShifter」やその後継とみられるツールの挙動、複数の脅威グループ間での技術やツールの共有の可能性が示されている。

EDR無効化ツールがランサムグループ間で大流行　複数ベンダーの製品が標的か

　これらのツールは、感染端末上でEDRの機能を無効化し、攻撃者が検知を回避しながら活動を継続できるよう意図されている。Sophosの調査によると、2022年以降、検出回避機能の高度化が進んでおり、地下マーケットでの売買や「HeartCrypt」のようなPacker-as-a-Serviceによる難読化も確認されている。

　分析対象となっている「AV killer」ツールは、複数のセキュリティ製品を終了させる機能を持つ。Sophos製品を含む多数のベンダー製品が標的となっており、検出したサンプルでは偽装ドライバーが使われている。ドライバーはランダムな5文字の名称で、侵害された証明書によって署名されており、CrowdStrike製品を装う事例も報告されている。

　Sophosの観測によると、この種のEDR無効化ツールはRansomHub、「Blacksuit」「Medusa」「Qilin」「Dragonforce」「Crytox」「Lynx」「INC」など多数のランサムウェアと組み合わせて使用されている。攻撃の典型的な流れとして、HeartCryptで難読化されているドロッパーが実行され、そこからEDR無効化ツールが展開され、侵害された証明書付きドライバーを読み込み、最終的にランサムウェアを実行するケースが多いという。

　特筆すべき事例として、「MedusaLocker」攻撃では「SimpleHelp」のゼロデイのリモートコード実行（RCE）を悪用した可能性が指摘されている。2025年6月のINCランサムウェア事例において、既知のEDR無効化ツールに加え、過去に報告されているパッカーの改良版を重ねて使用するなど、多層的な保護回避が実行されていた。

　Sophosは、同一の実行ファイルが共有されているわけではなく、それぞれ異なるビルドのツールが使用されている点を強調している。しかし、HeartCryptによる難読化の共通利用や攻撃手法の類似性から、脅威グループ間での情報・技術の共有または漏えいが起きている可能性が高いと分析している。これらの傾向は、ランサムウェアの活動構造が単なる競合関係にとどまらず、複雑に絡み合ったエコシステムになっていることを示している。