Se ha observado que los actores de amenazas detrás de la operación de
ransomware como servicio (RaaS) Medusa utilizan un controlador malicioso
denominado ABYSSWORKER como parte de un ataque de «traiga su propio
controlador vulnerable» (BYOVD) diseñado para desactivar las herramientas
antimalware.
Elastic Security Labs afirmó
haber observado un ataque de ransomware Medusa que distribuyó el cifrador
mediante un cargador empaquetado con un empaquetador como servicio (PaaS)
llamado
HeartCrypt.
El controlador en cuestión, «smuol.sys», imita un controlador legítimo
de CrowdStrike Falcon («CSAgent.sys»). Se han detectado docenas de
artefactos de ABYSSWORKER en la plataforma VirusTotal desde el 8 de agosto de
2024 hasta el 25 de febrero de 2025. Crea un dispositivo y un enlace simbólico
en el sistema de la víctima mientras registra devoluciones de llamada para
proteger sus procesos maliciosos. Todas las muestras identificadas están
firmadas con certificados probablemente robados y revocados de empresas
chinas.
El hecho de que el malware también esté firmado le otorga una apariencia de
confianza y le permite eludir los sistemas de seguridad sin llamar la
atención. Cabe destacar que el controlador que elimina los sistemas de
detección y respuesta de endpoints (EDR) fue documentado previamente por ConnectWise
en enero de 2025 con el nombre «nbwdv.sys».
Una vez inicializado y ejecutado, ABYSSWORKER está diseñado para agregar el ID
del proceso a una lista de procesos protegidos globales y escuchar las
solicitudes entrantes de control de E/S del dispositivo, que luego se envían a
los controladores adecuados según el código de control de E/S.
Estos controladores abarcan una amplia gama de operaciones, desde la
manipulación de archivos hasta la terminación de procesos y controladores, y
proporcionan un conjunto completo de herramientas que puede utilizarse para
terminar o desactivar permanentemente los sistemas EDR, afirmó Elastic.
A continuación, se muestra la lista de algunos códigos de control de E/S:
- 0x222080 – Habilitar el controlador enviando una contraseña
- 0x2220c0 – Cargar las API del kernel necesarias
- 0x222184 – Copiar archivo
- 0x222180 – Eliminar archivo
- 0x222408 – Finalizar subprocesos del sistema por nombre de módulo
- 0x222400 – Eliminar devoluciones de notificaciones por nombre de módulo
- 0x2220c0 – Cargar API
- 0x222144 – Finalizar proceso por su ID de proceso
- 0x222140 – Finalizar subproceso por su ID de subproceso
- 0x222084 – Deshabilitar malware
- 0x222664 – Reiniciar el equipo
De particular interés es 0x222400, que se puede utilizar para «cegar»
productos de seguridad mediante la búsqueda y eliminación de todas las
devoluciones de llamadas de notificación registradas, un enfoque también
adoptado por otras herramientas de eliminación de EDR como
EDRSandBlast
y
RealBlindingEDR.
Los hallazgos surgen de un
informe de Venak Security
sobre cómo los actores de amenazas están explotando un controlador de kernel
legítimo pero vulnerable, asociado con el software antivirus ZoneAlarm de
Check Point, como parte de un ataque BYOVD diseñado para obtener privilegios
elevados y deshabilitar funciones de seguridad de Windows como la Integridad
de Memoria.
Los actores de amenazas abusaron del acceso privilegiado para establecer una
conexión de Protocolo de Escritorio Remoto (RDP) con los sistemas infectados,
lo que facilitó el acceso persistente. Check Point ha solucionado la
vulnerabilidad.
«Dado que vsdatant.sys opera con privilegios de kernel de alto nivel, los
atacantes pudieron explotar sus vulnerabilidades, eludiendo las protecciones
de seguridad y el software antivirus, y obteniendo el control total de los
equipos infectados», declaró la compañía.
«Una vez eludidas estas defensas, los atacantes tuvieron acceso completo al
sistema subyacente y pudieron acceder a información confidencial, como
contraseñas de usuario y otras credenciales almacenadas. Estos datos fueron
exfiltrados, lo que facilitó su explotación».
Este desarrollo surge después de que la operación de ransomware
RansomHub
(también conocido como Greenbottle y Cyclops) se atribuyera al uso de una
puerta trasera multifunción, previamente no documentada y con nombre en clave
Betruger, por parte de al menos una de sus filiales.
El implante incluye funciones típicamente asociadas con malware implementado
como precursor de ransomware, como captura de pantalla, registro de
pulsaciones de teclas, escaneo de red, escalamiento de privilegios, volcado de
credenciales y exfiltración de datos a un servidor remoto.
«La funcionalidad de Betruger indica que podría haber sido desarrollado para
minimizar la cantidad de nuevas herramientas que se instalan en una red
objetivo mientras se prepara un ataque de ransomware»,
declaró Symantec, describiéndolo como una especie de cambio con respecto a otras herramientas
personalizadas desarrolladas por grupos de ransomware para la exfiltración de
datos.
«El uso de malware personalizado que no sea el cifrado de cargas útiles es
relativamente inusual en los ataques de ransomware. La mayoría de los
atacantes utilizan herramientas legítimas, se aprovechan de herramientas
LoLBas y malware disponible públicamente, como Mimikatz y Cobalt Strike».
Elastic Security Labs ha creado una regla YARA para detectar este rootkit.
Fuente:
THN