{"id":721152,"date":"2023-04-24T17:51:51","date_gmt":"2023-04-24T17:51:51","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-de-ransomware-que-utilizan-la-herramienta-aukill-para-deshabilitar-el-software-edr-mediante-el-ataque-byovd\/"},"modified":"2023-04-24T17:51:55","modified_gmt":"2023-04-24T17:51:55","slug":"hackers-de-ransomware-que-utilizan-la-herramienta-aukill-para-deshabilitar-el-software-edr-mediante-el-ataque-byovd","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-de-ransomware-que-utilizan-la-herramienta-aukill-para-deshabilitar-el-software-edr-mediante-el-ataque-byovd\/","title":{"rendered":"Hackers de ransomware que utilizan la herramienta AuKill para deshabilitar el software EDR mediante el ataque BYOVD"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">24 de abril de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Seguridad de punto final \/ BYOVD<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Los actores de amenazas est\u00e1n empleando una &#8220;herramienta de evasi\u00f3n de defensa&#8221; previamente indocumentada denominada <b>AuKill<\/b> que est\u00e1 dise\u00f1ado para deshabilitar el software de detecci\u00f3n y respuesta de punto final (EDR) por medio de un ataque Bring Your Own Vulnerable Driver (BYOVD).<\/p>\n<p>&#8220;La herramienta AuKill abusa de una versi\u00f3n obsoleta de la <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/gettingstarted\/what-is-a-driver-\" target=\"_blank\">conductor<\/a> utilizado por la versi\u00f3n 16.32 de la utilidad de Microsoft, <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/sysinternals\/\" target=\"_blank\">Explorador de procesos<\/a>para deshabilitar los procesos EDR antes de implementar una puerta trasera o un ransomware en el sistema de destino&#8221;, dijo Andreas Klopsch, investigador de Sophos. <a rel=\"nofollow noopener\" href=\"https:\/\/news.sophos.com\/en-us\/2023\/04\/19\/aukill-edr-killer-malware-abuses-process-explorer-driver\/\" target=\"_blank\">dicho<\/a> en un informe publicado la semana pasada.<\/p>\n<p>Los incidentes analizados por la firma de ciberseguridad muestran el uso de AuKill desde principios de 2023 para implementar varias cepas de ransomware como Medusa Locker y LockBit.  Hasta la fecha, se han identificado seis versiones diferentes del malware.  La muestra m\u00e1s antigua de AuKill presenta una marca de tiempo de compilaci\u00f3n de noviembre de 2022.<\/p>\n<p>La t\u00e9cnica BYOVD se basa en que los actores de amenazas hacen un mal uso de un controlador leg\u00edtimo, pero desactualizado y explotable, firmado por Microsoft (o usan un certificado robado o filtrado) para obtener privilegios elevados y desactivar los mecanismos de seguridad.<\/p>\n<p>Mediante el uso de controladores leg\u00edtimos y explotables, la idea es eludir una protecci\u00f3n clave de Windows conocida como Driver Signature Enforcement que garantiza que los controladores en modo kernel hayan sido firmados por una autoridad de firma de c\u00f3digo v\u00e1lida antes de que se les permita ejecutarse.<\/p>\n<p>&#8220;La herramienta AuKill requiere privilegios administrativos para funcionar, pero no puede otorgar esos privilegios al atacante&#8221;, se\u00f1alaron los investigadores de Sophos.  &#8220;Los actores de amenazas que usaron AuKill se aprovecharon de los privilegios existentes durante los ataques, cuando los obtuvieron por otros medios&#8221;.<\/p>\n<p>Esta no es la primera vez que el controlador Process Explorer firmado por Microsoft ha sido utilizado como arma en ataques.  En noviembre de 2022, Sophos tambi\u00e9n detall\u00f3 el uso por parte de los afiliados de LockBit de una herramienta de c\u00f3digo abierto llamada <a rel=\"nofollow noopener\" href=\"https:\/\/news.sophos.com\/en-us\/2022\/11\/30\/lockbit-3-0-black-attacks-and-leaks-reveal-wormable-capabilities-and-tooling\/\" target=\"_blank\">pu\u00f1alada por la espalda<\/a> que abusaba de versiones obsoletas del controlador para finalizar procesos antimalware protegidos.<\/p>\n<p>Luego, a principios de este a\u00f1o, se detect\u00f3 una campa\u00f1a de publicidad maliciosa que utilizaba el mismo controlador para distribuir un cargador .NET llamado MalVirt para implementar el malware de robo de informaci\u00f3n FormBook.<\/p>\n<p>El desarrollo se presenta como el AhnLab Security Emergency Response Center (ASEC) <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/51343\/\" target=\"_blank\">revel\u00f3<\/a> que los servidores MS-SQL mal administrados est\u00e1n siendo armados para instalar el <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/ransomware-roundup-trigona-ransomware\" target=\"_blank\">trigona<\/a> ransomware, que comparte superposiciones con otra cepa conocida como <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/trigona-ransomware-update\/\" target=\"_blank\">CryLock<\/a>.<\/p>\n<p>tambi\u00e9n sigue <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/threat-intelligence\/play-ransomware-volume-shadow-copy\" target=\"_blank\">recomendaciones<\/a> que se ha observado que los actores del ransomware Play (tambi\u00e9n conocido como PlayCrypt) usan herramientas personalizadas de recolecci\u00f3n de datos que hacen posible enumerar todos los usuarios y computadoras en una red comprometida y copiar archivos del Servicio de instant\u00e1neas de volumen (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-server\/storage\/file-server\/volume-shadow-copy-service\" target=\"_blank\">VSS<\/a>).<\/p>\n<p>Grixba, un ladr\u00f3n de informaci\u00f3n basado en .NET, est\u00e1 dise\u00f1ado para escanear una m\u00e1quina en busca de programas de seguridad, software de respaldo y herramientas de administraci\u00f3n remota, y exfiltrar los datos recopilados en forma de archivos CSV que luego se comprimen en archivos ZIP.<\/p>\n<p>La banda de ciberdelincuentes, rastreada por Symantec como Balloonfly, tambi\u00e9n utiliza una herramienta de copia de VSS escrita en .NET que hace uso de la <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/alphaleonis\/AlphaVSS\" target=\"_blank\">Marco AlphaVSS<\/a> para enumerar archivos y carpetas en una instant\u00e1nea de VSS y copiarlos en un directorio de destino antes del cifrado.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust.  \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Guardar mi asiento!<\/a><\/div>\n<p>Play ransomware se destaca no solo por utilizar <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/crimeware-trends-ransomware-developers-turn-to-intermittent-encryption-to-evade-detection\/\" target=\"_blank\">cifrado intermitente<\/a> para acelerar el proceso, sino tambi\u00e9n por el hecho de que no funciona con un modelo de ransomware como servicio (RaaS).  La evidencia recopilada hasta ahora apunta a que Balloonfly lleva a cabo los ataques de ransomware y tambi\u00e9n desarrolla el malware.<\/p>\n<p>Grixba y VSS Copying Tool son las \u00faltimas de una larga lista de herramientas propietarias como Exmatter, <a rel=\"nofollow noopener\" href=\"https:\/\/symantec-enterprise-blogs.security.com\/blogs\/threat-intelligence\/blackbyte-exbyte-ransomware\" target=\"_blank\">Exbyte<\/a>y secuencias de comandos basadas en PowerShell que utilizan los actores de ransomware para establecer un mayor control sobre sus operaciones, al tiempo que agregan capas adicionales de complejidad para persistir en entornos comprometidos y evadir la detecci\u00f3n.<\/p>\n<p>Otra t\u00e9cnica cada vez m\u00e1s adoptada por grupos motivados financieramente es el uso del lenguaje de programaci\u00f3n Go para desarrollar <a rel=\"nofollow noopener\" href=\"https:\/\/decoded.avast.io\/davidalvarez\/go-malware-on-the-rise\/\" target=\"_blank\">malware multiplataforma<\/a> y <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/alphagolang-a-step-by-step-go-malware-reversing-methodology-for-ida-pro\/\" target=\"_blank\">an\u00e1lisis de resistencia<\/a> y <a rel=\"nofollow noopener\" href=\"https:\/\/www.mandiant.com\/resources\/blog\/golang-internals-symbol-recovery\" target=\"_blank\">Ingenier\u00eda inversa<\/a> esfuerzos<\/p>\n<p>De hecho, un informe de Cyble la semana pasada document\u00f3 un nuevo ransomware GoLang llamado CrossLock que emplea la t\u00e9cnica de doble extorsi\u00f3n para aumentar la probabilidad de pago de sus v\u00edctimas, adem\u00e1s de tomar medidas para eludir el seguimiento de eventos para Windows (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows-hardware\/drivers\/devtest\/event-tracing-for-windows--etw-\" target=\"_blank\">ETW<\/a>).<\/p>\n<p>&#8220;Esta funcionalidad puede permitir que el malware evite la detecci\u00f3n por parte de los sistemas de seguridad que dependen de los registros de eventos&#8221;, Cyble <a rel=\"nofollow noopener\" href=\"https:\/\/blog.cyble.com\/2023\/04\/18\/crosslock-ransomware-emerges-new-golang-based-malware-on-the-horizon\/\" target=\"_blank\">dicho<\/a>.  &#8220;CrossLock Ransomware tambi\u00e9n realiza varias acciones para reducir las posibilidades de recuperaci\u00f3n de datos al mismo tiempo que aumenta la efectividad del ataque&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/04\/ransomware-hackers-using-aukill-tool-to.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80224 de abril de 2023\ue804Ravie Lakshman\u00e1nSeguridad de punto final \/ BYOVD Los actores de amenazas est\u00e1n empleando una<\/p>\n","protected":false},"author":1,"featured_media":721153,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,1247,4661,158538,158539,4664,59473,113464,4662,6369,1086,4668,4667,11078,4654,4658,4659,4653,4655,18,4663,4883,4666,4665,6246,10365,4660],"class_list":["post-721152","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataque","tag-ataques-ciberneticos","tag-aukill","tag-byovd","tag-como-hackear","tag-deshabilitar","tag-edr","tag-filtracion-de-datos","tag-hackers","tag-herramienta","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-mediante","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-programa-malicioso-ransomware","tag-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software","tag-utilizan","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/721152","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=721152"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/721152\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/721153"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=721152"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=721152"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=721152"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}