Uma nova técnica de evasão conhecida como "EDR-Freeze" surgiu, mudando a forma como os atacantes neutralizam a segurança de endpoints. Ao contrário dos métodos tradicionais que tentam travar ou encerrar o software de segurança (o que muitas vezes aciona alertas), o EDR-Freeze suspende completamente o processo de segurança, tornando-o "comatoso" mas tecnicamente vivo. Este ataque é particularmente perigoso porque opera inteiramente em modo de usuário, o que significa que não requer que o atacante traga um driver vulnerável (BYOVD) ou explore falhas a nível de kernel. Em vez disso, ele abusa de ferramentas legítimas de relatórios de erros do Windows para congelar agentes de Detecção e Resposta de Endpoint (EDR), criando um ponto cego onde a atividade maliciosa pode ocorrer sem ser detectada.