Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Hackers de ransomware que utilizan la herramienta AuKill para deshabilitar el software EDR mediante el ataque BYOVD
  • Tecnología

Hackers de ransomware que utilizan la herramienta AuKill para deshabilitar el software EDR mediante el ataque BYOVD

teknomers 24 de Nisan de 2023 (Last updated: 24 de Nisan de 2023) 5 minutes read
Hackers de ransomware que utilizan la herramienta AuKill para deshabilitar


24 de abril de 2023Ravie LakshmanánSeguridad de punto final / BYOVD

Los actores de amenazas están empleando una “herramienta de evasión de defensa” previamente indocumentada denominada AuKill que está diseñado para deshabilitar el software de detección y respuesta de punto final (EDR) por medio de un ataque Bring Your Own Vulnerable Driver (BYOVD).

“La herramienta AuKill abusa de una versión obsoleta de la conductor utilizado por la versión 16.32 de la utilidad de Microsoft, Explorador de procesospara deshabilitar los procesos EDR antes de implementar una puerta trasera o un ransomware en el sistema de destino”, dijo Andreas Klopsch, investigador de Sophos. dicho en un informe publicado la semana pasada.

Los incidentes analizados por la firma de ciberseguridad muestran el uso de AuKill desde principios de 2023 para implementar varias cepas de ransomware como Medusa Locker y LockBit. Hasta la fecha, se han identificado seis versiones diferentes del malware. La muestra más antigua de AuKill presenta una marca de tiempo de compilación de noviembre de 2022.

La técnica BYOVD se basa en que los actores de amenazas hacen un mal uso de un controlador legítimo, pero desactualizado y explotable, firmado por Microsoft (o usan un certificado robado o filtrado) para obtener privilegios elevados y desactivar los mecanismos de seguridad.

Mediante el uso de controladores legítimos y explotables, la idea es eludir una protección clave de Windows conocida como Driver Signature Enforcement que garantiza que los controladores en modo kernel hayan sido firmados por una autoridad de firma de código válida antes de que se les permita ejecutarse.

“La herramienta AuKill requiere privilegios administrativos para funcionar, pero no puede otorgar esos privilegios al atacante”, señalaron los investigadores de Sophos. “Los actores de amenazas que usaron AuKill se aprovecharon de los privilegios existentes durante los ataques, cuando los obtuvieron por otros medios”.

Esta no es la primera vez que el controlador Process Explorer firmado por Microsoft ha sido utilizado como arma en ataques. En noviembre de 2022, Sophos también detalló el uso por parte de los afiliados de LockBit de una herramienta de código abierto llamada puñalada por la espalda que abusaba de versiones obsoletas del controlador para finalizar procesos antimalware protegidos.

Luego, a principios de este año, se detectó una campaña de publicidad maliciosa que utilizaba el mismo controlador para distribuir un cargador .NET llamado MalVirt para implementar el malware de robo de información FormBook.

El desarrollo se presenta como el AhnLab Security Emergency Response Center (ASEC) reveló que los servidores MS-SQL mal administrados están siendo armados para instalar el trigona ransomware, que comparte superposiciones con otra cepa conocida como CryLock.

también sigue recomendaciones que se ha observado que los actores del ransomware Play (también conocido como PlayCrypt) usan herramientas personalizadas de recolección de datos que hacen posible enumerar todos los usuarios y computadoras en una red comprometida y copiar archivos del Servicio de instantáneas de volumen (VSS).

Grixba, un ladrón de información basado en .NET, está diseñado para escanear una máquina en busca de programas de seguridad, software de respaldo y herramientas de administración remota, y exfiltrar los datos recopilados en forma de archivos CSV que luego se comprimen en archivos ZIP.

La banda de ciberdelincuentes, rastreada por Symantec como Balloonfly, también utiliza una herramienta de copia de VSS escrita en .NET que hace uso de la Marco AlphaVSS para enumerar archivos y carpetas en una instantánea de VSS y copiarlos en un directorio de destino antes del cifrado.

PRÓXIMO SEMINARIO WEB

Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!

Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!

Guardar mi asiento!

Play ransomware se destaca no solo por utilizar cifrado intermitente para acelerar el proceso, sino también por el hecho de que no funciona con un modelo de ransomware como servicio (RaaS). La evidencia recopilada hasta ahora apunta a que Balloonfly lleva a cabo los ataques de ransomware y también desarrolla el malware.

Grixba y VSS Copying Tool son las últimas de una larga lista de herramientas propietarias como Exmatter, Exbytey secuencias de comandos basadas en PowerShell que utilizan los actores de ransomware para establecer un mayor control sobre sus operaciones, al tiempo que agregan capas adicionales de complejidad para persistir en entornos comprometidos y evadir la detección.

Otra técnica cada vez más adoptada por grupos motivados financieramente es el uso del lenguaje de programación Go para desarrollar malware multiplataforma y análisis de resistencia y Ingeniería inversa esfuerzos

De hecho, un informe de Cyble la semana pasada documentó un nuevo ransomware GoLang llamado CrossLock que emplea la técnica de doble extorsión para aumentar la probabilidad de pago de sus víctimas, además de tomar medidas para eludir el seguimiento de eventos para Windows (ETW).

“Esta funcionalidad puede permitir que el malware evite la detección por parte de los sistemas de seguridad que dependen de los registros de eventos”, Cyble dicho. “CrossLock Ransomware también realiza varias acciones para reducir las posibilidades de recuperación de datos al mismo tiempo que aumenta la efectividad del ataque”.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Cada año mueren 1.200 niños en Europa a causa de la contaminación del aire: ‘Las partículas tóxicas acaban más rápido en sus pulmones’
Next: Karl Lauterbach no sabe muy bien cómo se escribe el nombre de la banda “Nevermind”

Related Stories

Canícula: el error con el aire acondicionado que deja a
  • Tecnología

Canícula: el error con el aire acondicionado que deja a muchos automovilistas varados

teknomers 4 de Temmuz de 2026
Test Mova M10: ¿el mejor aspirador lavador por menos de
  • Tecnología

Test Mova M10: ¿el mejor aspirador lavador por menos de 300 euros?

teknomers 4 de Temmuz de 2026
GPS, radares, multas: lo que la ley realmente permite este
  • Tecnología

GPS, radares, multas: lo que la ley realmente permite este verano

teknomers 4 de Temmuz de 2026

You May Have Missed

  • Deporte

De uno a 16 – clasificación de cada equipo que queda en la Copa Mundial

teknomers 4 de Temmuz de 2026
Copa del Mundo: PSG, Real Madrid… ¿cuál es el club
  • Deporte

Copa del Mundo: PSG, Real Madrid… ¿cuál es el club que ha anotado más goles desde el inicio del Mundial?

teknomers 4 de Temmuz de 2026
Tournefeuille. Antiguo enfermero, Sophie ha puesto el bienestar en el
  • salud

Tournefeuille. Antiguo enfermero, Sophie ha puesto el bienestar en el centro de su proyecto profesional.

teknomers 4 de Temmuz de 2026
« Mezclarse con eso sería un sacrilegio »: por qué
  • Cultura

« Mezclarse con eso sería un sacrilegio »: por qué Booba cancela su asistencia al festival des Ardentes en el último momento

teknomers 4 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.