Los actores de amenaza con enlaces a la familia Ransomware explotaron una falla de seguridad recientemente parcheada en Microsoft Windows como un d\u00eda cero como parte de un ataque dirigido a una organizaci\u00f3n no identificada en los Estados Unidos.<\/p>\n
El ataque, seg\u00fan el equipo de cazadores de amenazas de Symantec, parte de Broadcom, apalancado<\/a> CVE-2025-29824, una falla de escalada de privilegio en el controlador de archivos de registro com\u00fan (CLFS). Fue parcheado por Microsoft el mes pasado.<\/p>\n Play, tambi\u00e9n llamado Balloonfly y PlayCrypt, es conocido por sus t\u00e1cticas de doble extorsi\u00f3n, donde los datos confidenciales se exfiltran antes del cifrado a cambio de un rescate. Est\u00e1 activo desde al menos a mediados de 2012.<\/p>\n En la actividad observada por Symantec, se dice que los actores de amenaza probablemente aprovecharon un dispositivo de seguridad adaptativo de Cisco (ASA) de Cisco como un m\u00e9todo de mudarse a otra m\u00e1quina de Windows en la red de destino.<\/p>\n El ataque es notable por el uso de Grixba, un robador de informaci\u00f3n a medida previamente atribuido a Play y una exploit para CVE-2025-29824 que se ha ca\u00eddo en la carpeta de m\u00fasica, d\u00e1ndole nombres que estaquerade como Palo Alto Networks Software (EG, “PaloalToconfig.exe” y “PaloalToconfig.Dll”).<\/p>\n Tambi\u00e9n se ha observado que los actores de amenaza ejecutan comandos para recopilar informaci\u00f3n sobre todas las m\u00e1quinas disponibles en el directorio activo de las v\u00edctimas y guardar los resultados en un archivo CSV.<\/p>\n “Durante la ejecuci\u00f3n de la exploit, se crean dos archivos en la ruta C: ProgramData SkyPDF”, explic\u00f3 Symantec. “El primer archivo, pdudrv.blf, es un archivo de registro base del sistema de archivo de registro com\u00fan y es un artefacto creado durante la explotaci\u00f3n”.<\/p>\n “El segundo archivo, clssrv.inf, es una DLL que se inyecta en el proceso winlogon.exe. Esta DLL tiene la capacidad de soltar dos archivos de lotes adicionales”.<\/p>\n Uno de los archivos por lotes, llamados “ServTask.bat”, se utiliza para aumentar los privilegios, volcar las colmenas SAM, Sistema y Registro de Seguridad, crear un nuevo usuario llamado “LocalsVC” y TI al grupo de administrador. El otro archivo por lotes, “cmdpostfix.bat”, se utiliza para limpiar trazas de explotaci\u00f3n.<\/p>\n Symantec dijo que no se implement\u00f3 una carga \u00fatil de ransomware en la intrusi\u00f3n. Los resultados muestran que los exploits para CVE-2025-29824 pueden haber estado disponibles para m\u00faltiples actores de amenaza antes de que Microsoft lo arregle.<\/p>\n Vale la pena se\u00f1alar que la naturaleza de la explotaci\u00f3n detallada por la compa\u00f1\u00eda de seguridad cibern\u00e9tica no se superpone con otro cl\u00faster de actividad denominado Storm-2460 que Microsoft revel\u00f3 que hab\u00eda armado el defecto en un conjunto limitado de ataques para entregar un troyano doblado Pipemagic.<\/p>\n La explotaci\u00f3n de CVE-2025-29824 tambi\u00e9n apunta a la tendencia de los actores de ransomware que usan d\u00edas cero para infiltrarse en objetivos. El a\u00f1o pasado, Symantec divulg\u00f3 que el Grupo Black Basta puede haber aprovechado CVE-2024-26169, una escalada de privilegios en el servicio de informes de errores de Windows, como un d\u00eda cero.<\/p>\n La divulgaci\u00f3n se produce cuando los Servicios de Respuesta a Incidentes de Incidentes de Stroz Friedberg de Aon detallaron una t\u00e9cnica de derivaci\u00f3n local llamada Traer su propio instalador que est\u00e1 siendo explotado por los actores de amenaza para deshabilitar el software de seguridad de puntos finales e implementar el ransomware Babuk.<\/p>\n El ataque, seg\u00fan la compa\u00f1\u00eda, dirigi\u00f3 el sistema de detecci\u00f3n y respuesta de punto final de Sentinelone (EDR) al explotar un defecto dentro del proceso de actualizaci\u00f3n\/rebaja del agente Sentinelone despu\u00e9s de haber obtenido acceso administrativo local en un servidor de acceso p\u00fablico.<\/p>\n “Traiga su propio instalador es una t\u00e9cnica que los actores de amenazas pueden utilizar para evitar la protecci\u00f3n EDR en un host a trav\u00e9s de la terminaci\u00f3n cronometrada del proceso de actualizaci\u00f3n del agente cuando se configuran inadecuadamente”, los investigadores de Aon John Ailes y Tim Mashni dicho<\/a>.<\/p>\n El enfoque es notable porque no se basa en controladores vulnerables u otras herramientas para desarmar el software de seguridad. M\u00e1s bien, explota una ventana de tiempo en el proceso de actualizaci\u00f3n del agente para finalizar la ejecuci\u00f3n de agentes EDR, dejando dispositivos sin protecci\u00f3n.<\/p>\n Espec\u00edficamente, abusa del hecho de que la instalaci\u00f3n de una versi\u00f3n diferente del software que usa un archivo MSI hace que termine los procesos de Windows ya en ejecuci\u00f3n antes de que se realice la actualizaci\u00f3n.<\/p>\n El ataque de Instalante Bring Your Own implica esencialmente ejecutar un instalador leg\u00edtimo y terminar con fuerza el proceso de instalaci\u00f3n emitiendo un comando “TaskKill” despu\u00e9s de que apaga los servicios de ejecuci\u00f3n. <\/p>\n “Debido a que la versi\u00f3n anterior de los procesos de Sentinelone se terminaron durante la actualizaci\u00f3n, y los nuevos procesos se interrumpieron antes de desove, el resultado final fue un sistema sin protecci\u00f3n contra sentinelona”, dijeron los investigadores de Aon.<\/p>\n Sentinelone, que dijo que la t\u00e9cnica podr\u00eda aplicarse contra otros productos de protecci\u00f3n de punto final, ha sido desde entonces actualizaciones<\/a> a su Autorizaci\u00f3n de actualizaci\u00f3n local<\/a> caracter\u00edstica para mitigar tales derivaciones vuelven a suceder. Esto incluye habilitarlo de forma predeterminada para todos los nuevos clientes.<\/p>\n La divulgaci\u00f3n se produce como Cisco revel\u00f3<\/a> Que una familia de ransomware conocida como Crytox ha empleado HRSword como parte de su cadena de ataque para apagar las protecciones de seguridad del punto final.<\/p>\n HRSword ha sido observado previamente en ataques que entregan babylockz y Fobos<\/a> cepas de ransomware, as\u00ed como aquellas dise\u00f1ado<\/a> para terminar las soluciones de seguridad de Ahnlab en Corea del Sur.<\/p>\n Los ataques de ransomware tambi\u00e9n han capacitado cada vez m\u00e1s sus miras en los controladores de dominios para violar las organizaciones, lo que permite a los actores de amenaza obtener acceso a cuentas privilegiadas y armarse el acceso centralizado de la red a cifrar cientos o miles de sistemas en minutos.<\/p>\n “M\u00e1s del 78% de los ataques cibern\u00e9ticos operados por humanos, los actores de amenaza violan con \u00e9xito un controlador de dominio”, Microsoft revel\u00f3<\/a> mes pasado.<\/p>\n “Adem\u00e1s, en m\u00e1s del 35% de los casos, el dispositivo de dispersi\u00f3n primario, el sistema responsable de distribuir ransomware a escala, es un controlador de dominio, que destaca su papel crucial en la habilitaci\u00f3n de cifrado generalizado e interrupci\u00f3n operativa”.<\/p>\n Otros ataques de ransomware detectados en los \u00faltimos meses han aprovechado un nuevo ransomware como servicio (RAAS) conocido como Lockoy Locker, que proporciona ciberdelincuentes relativamente no calificados con un conjunto de herramientas integral que comprende cargas \u00fatiles de ransomware, paneles de administraci\u00f3n y servicios de soporte.<\/p>\n “La plataforma Playboy Locker Raas ofrece afiliados numerosas opciones para construir binarios de ransomware que se dirigen a los sistemas de Windows, NAS y ESXI, lo que permite que las configuraciones personalizadas se adapten a diferentes requisitos operativos”, Cyberazon dicho<\/a>. “Los operadores de Playboy Locker Raas anuncian actualizaciones peri\u00f3dicas, caracter\u00edsticas anti-detecci\u00f3n e incluso atenci\u00f3n al cliente para afiliados”.<\/p>\n Los desarrollos tambi\u00e9n han coincidido con el lanzamiento de un cartel de ransomware por Dragonforce, un grupo de delitos electr\u00f3nicos que ha reclamado el control de Ransomhub, un esquema RAAS que dej\u00f3 de operar abruptamente a fines de marzo de 2025.<\/p>\n El servicio de marca de etiqueta blanca est\u00e1 dise\u00f1ado para permitir que los afiliados disfrazaran el ransomware de Dragonforce como una cepa diferente por una tarifa adicional. El actor de amenaza afirma tomar una participaci\u00f3n del 20% de los pagos exitosos de ransomware, lo que permite a los afiliados mantener el 80% restante. <\/p>\n Dragonforce surgido<\/a> En agosto de 2023, se posicion\u00f3 como una operaci\u00f3n hacktivista pro-palestina antes de evolucionar a una operaci\u00f3n de ransomware de pleno derecho. En las \u00faltimas semanas, el sindicato RAAS ha atra\u00eddo la atenci\u00f3n por su objetivo de minoristas del Reino Unido como Harrods, Marks y Spencer, y la Cooperativa.<\/p>\n “Este movimiento, junto con el impulso de DragonForce para marcarse como un ‘Cartel de ransomware’, ilustra el deseo del grupo de elevar su perfil en el panorama de Crimeware al permitir un ecosistema”, Sentinelone dicho<\/a>. “Bajo este modelo, DragonForce proporciona la infraestructura, el malware y los servicios de soporte continuos, mientras que los afiliados ejecutan campa\u00f1as bajo su propia marca”.<\/p>\n Seg\u00fan un informe<\/a> De BBC News, se cree que los ataques dirigidos al sector minorista del Reino Unido fueron orquestados por un notorio grupo de amenazas y un afiliado de Ransomhub conocido como Ara\u00f1a dispersa<\/a> (tambi\u00e9n conocido como Octo Tempest o UNC3944).<\/p>\n “Es plausible que los actores de amenaza, incluidos UNC3944, vean las organizaciones minoristas como objetivos atractivos, dado que generalmente poseen grandes cantidades de informaci\u00f3n de identificaci\u00f3n personal (PII) y datos financieros,” Mandiant propiedad de Google dicho<\/a>.<\/p>\n “Adem\u00e1s, es m\u00e1s probable que estas compa\u00f1\u00edas paguen una demanda de rescate si un ataque de ransomware afecta su capacidad para procesar transacciones financieras”.<\/p>\n Los ataques de ransomware han sido testigos de un aumento del 25% en 2024, con el n\u00famero de sitios de fuga de grupo de ransomware que aumentan en un 53%. La fragmentaci\u00f3n, por visi\u00f3n de bits, es la llegada de pandillas m\u00e1s peque\u00f1as y \u00e1giles que est\u00e1n golpeando a organizaciones medianas que no siempre tienen los recursos para abordar tales amenazas.<\/p>\n “La proliferaci\u00f3n de grupos de ransomware significa que est\u00e1n aumentando m\u00e1s r\u00e1pido de lo que la polic\u00eda puede cerrarlos, y su enfoque en organizaciones m\u00e1s peque\u00f1as significa que cualquier persona puede ser un objetivo”, el investigador de seguridad Dov Lerner dicho<\/a>.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Ransomware-Ransomware-Explotado-Windows-CVE-2025-29824-como-dia-cero-para-violar.jpg\")
<\/a><\/center><\/div>\nNuevo “traer su propio instalador” EDR Bypass usado en Babuk Ransomware Attack<\/h3>\n
<\/a><\/div>\nNuevas tendencias de ransomware<\/h3>\n
<\/a><\/div>\n<\/a><\/center><\/div>\n