Se han observado los actores de amenaza detr\u00e1s de la operaci\u00f3n Medusa Ransomware-As-A-Service (RAAS) utilizando un controlador malicioso doblado Abismo <\/b>Como parte de un ataque de traer su propio controlador vulnerable (BYOVD) dise\u00f1ado para deshabilitar las herramientas antimalware.<\/p>\n
Elastic Security Labs dijo que observ\u00f3 un ataque de ransomware Medusa que entreg\u00f3 al encriptador por medio de un cargador empaquetado con un empacador como servicio (PAAS) llamado HeartCrypt.<\/p>\n
“Este cargador se implement\u00f3 junto con un controlador de certificado revocado de un proveedor chino que llamamos Abyssworker, que instala en la m\u00e1quina v\u00edctima y luego usa para apuntar y silenciar a diferentes proveedores de EDR”, la compa\u00f1\u00eda “, la compa\u00f1\u00eda dicho<\/a> en un informe.<\/p>\n El conductor en cuesti\u00f3n, “Smuol.sys”, imita un conductor leg\u00edtimo de Falcon CrowdStrike (“csagent.sys”). Se han detectado docenas de artefactos de Abysworker en la plataforma virustotal que data del 8 de agosto de 2024 al 25 de febrero de 2025. Todas las muestras identificadas est\u00e1n firmadas utilizando certificados probablemente robados y revocados de las compa\u00f1\u00edas chinas.<\/p>\n El hecho de que el malware tambi\u00e9n est\u00e9 firmado le da una apariencia de confianza y le permite evitar los sistemas de seguridad sin atraer ninguna atenci\u00f3n. Vale la pena se\u00f1alar que el controlador de detecci\u00f3n y respuesta del punto final (EDR) fue previamente documentado<\/a> por Connectwise en enero de 2025 bajo el nombre “NBWDV.SYS”.<\/p>\n Una vez inicializado y lanzado, AbysSworker est\u00e1 dise\u00f1ado para agregar la ID del proceso a una lista de procesos protegidos globales y escuchar las solicitudes de control de E\/S de dispositivos entrantes, que luego se env\u00edan a los controladores apropiados seg\u00fan el c\u00f3digo de control de E\/S.<\/p>\n “Estos manejadores cubren una amplia gama de operaciones, desde la manipulaci\u00f3n de archivos hasta el proceso y la terminaci\u00f3n del controlador, proporcionando un conjunto de herramientas integral que puede usarse para terminar o deshabilitar permanentemente los sistemas EDR”, dijo Elastic.<\/p>\n La lista de algunos de los c\u00f3digos de control de E\/S est\u00e1 a continuaci\u00f3n –<\/p>\n De particular inter\u00e9s es 0x222400, que puede usarse para ciegos productos de seguridad buscando y eliminando todas las devoluciones de llamada de notificaci\u00f3n registradas, un enfoque tambi\u00e9n adoptado por otras herramientas de matanza EDR como EDR como EDR como EDR como EDR. Edrsandblast<\/a> y Realblindingedr<\/a>.<\/p>\n Los hallazgos siguen a un informe de la seguridad de Venak sobre c\u00f3mo los actores de amenaza est\u00e1n explotando un controlador de n\u00facleo leg\u00edtimo pero vulnerable asociado con el software Antivirus ZoneAlarm de Check Point como parte de un ataque BYOVD dise\u00f1ado para obtener privilegios elevados y deshabilitar las caracter\u00edsticas de seguridad de Windows como la integridad de la memoria.<\/p>\n Los actores de la amenaza abusaron del acceso privilegiado para establecer una conexi\u00f3n de protocolo de escritorio remoto (RDP) con los sistemas infectados, facilitando el acceso persistente. Desde entonces, la laguna ha sido conectada por el punto de control.<\/p>\n “Como vsdatant.sys opera con privilegios de n\u00facleo de alto nivel, los atacantes pudieron explotar sus vulnerabilidades, evitando las protecciones de seguridad y el software antivirus, y obteniendo el control total de las m\u00e1quinas infectadas”, la compa\u00f1\u00eda dicho<\/a>.<\/p>\n “Una vez que se omitieron estas defensas, los atacantes tuvieron acceso total al sistema subyacente, los atacantes pudieron acceder a informaci\u00f3n confidencial, como contrase\u00f1as de usuario y otras credenciales almacenadas. Estos datos se exfiltraron, abriendo la puerta para una mayor explotaci\u00f3n”.<\/p>\n El desarrollo se produce cuando la operaci\u00f3n de ransomware RansomHub (tambi\u00e9n conocida como Greenbottle y Cyclops) se ha atribuido al uso de una entrada en c\u00f3digo intermedia multifunci\u00f3n previamente indocumentado por al menos una de sus afiliadas.<\/p>\n El implante viene con caracter\u00edsticas t\u00edpicamente asociadas con malware implementado como precursor para el ransomware, como la captura de pantalla, el keylogging, el escaneo de redes, la escalada de privilegios, el vertido de credenciales y la exfiltraci\u00f3n de datos a un servidor remoto.<\/p>\n “La funcionalidad de Betruger indica que puede haberse desarrollado para minimizar el n\u00famero de nuevas herramientas ca\u00eddas en una red espec\u00edfica mientras se est\u00e1 preparando un ataque de ransomware”, se prepara Symantec de propiedad de Broadcom. dicho<\/a>describi\u00e9ndolo como una especie de desviaci\u00f3n de otras herramientas personalizadas desarrolladas por grupos de ransomware para la exfiltraci\u00f3n de datos.<\/p>\n “El uso de malware personalizado que no sea cifrar cargas \u00fatiles es relativamente inusual en los ataques de ransomware. La mayor\u00eda de los atacantes dependen de herramientas leg\u00edtimas, viven fuera de la tierra y malware disponible p\u00fablicamente como Mimikatz y Cobalt Strike”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/Medusa-Ransomware-utiliza-un-controlador-malicioso-para-deshabilitar-el-anti-malware.png\")
<\/a><\/center><\/div>\n\n
<\/a><\/div>\n<\/a><\/center><\/div>\n