Se ha observado que los actores de amenazas detrás de la operación de ransomware como servicio (RaaS) Medusa utilizan un controlador malicioso denominado ABYSSWORKER como parte de un ataque de "traiga su propio controlador vulnerable" (BYOVD) diseñado para desactivar las herramientas antimalware.
Elastic Security Labs afirmó haber observado un ataque de ransomware Medusa que distribuyó el cifrador mediante un cargador empaquetado con un empaquetador como servicio (PaaS) llamado HeartCrypt.
El controlador en cuestión, "smuol.sys", imita un controlador legítimo de CrowdStrike Falcon ("CSAgent.sys"). Se han detectado docenas de artefactos de ABYSSWORKER en la plataforma VirusTotal desde el 8 de agosto de 2024 hasta el 25 de febrero de 2025. Crea un dispositivo y un enlace simbólico en el sistema de la víctima mientras registra devoluciones de llamada para proteger sus procesos maliciosos. Todas las muestras identificadas están firmadas con certificados probablemente robados y revocados de empresas chinas.
El hecho de que el malware también esté firmado le otorga una apariencia de confianza y le permite eludir los sistemas de seguridad sin llamar la atención. Cabe destacar que el controlador que elimina los sistemas de detección y respuesta de endpoints (EDR) fue documentado previamente por ConnectWise en enero de 2025 con el nombre "nbwdv.sys".
Una vez inicializado y ejecutado, ABYSSWORKER está diseñado para agregar el ID del proceso a una lista de procesos protegidos globales y escuchar las solicitudes entrantes de control de E/S del dispositivo, que luego se envían a los controladores adecuados según el código de control de E/S.
Estos controladores abarcan una amplia gama de operaciones, desde la manipulación de archivos hasta la terminación de procesos y controladores, y proporcionan un conjunto completo de herramientas que puede utilizarse para terminar o desactivar permanentemente los sistemas EDR, afirmó Elastic.
A continuación, se muestra la lista de algunos códigos de control de E/S:
- 0x222080 - Habilitar el controlador enviando una contraseña
- 0x2220c0 - Cargar las API del kernel necesarias
- 0x222184 - Copiar archivo
- 0x222180 - Eliminar archivo
- 0x222408 - Finalizar subprocesos del sistema por nombre de módulo
- 0x222400 - Eliminar devoluciones de notificaciones por nombre de módulo
- 0x2220c0 - Cargar API
- 0x222144 - Finalizar proceso por su ID de proceso
- 0x222140 - Finalizar subproceso por su ID de subproceso
- 0x222084 - Deshabilitar malware
- 0x222664 - Reiniciar el equipo
De particular interés es 0x222400, que se puede utilizar para "cegar" productos de seguridad mediante la búsqueda y eliminación de todas las devoluciones de llamadas de notificación registradas, un enfoque también adoptado por otras herramientas de eliminación de EDR como EDRSandBlast y RealBlindingEDR.
Los hallazgos surgen de un informe de Venak Security sobre cómo los actores de amenazas están explotando un controlador de kernel legítimo pero vulnerable, asociado con el software antivirus ZoneAlarm de Check Point, como parte de un ataque BYOVD diseñado para obtener privilegios elevados y deshabilitar funciones de seguridad de Windows como la Integridad de Memoria.
Los actores de amenazas abusaron del acceso privilegiado para establecer una conexión de Protocolo de Escritorio Remoto (RDP) con los sistemas infectados, lo que facilitó el acceso persistente. Check Point ha solucionado la vulnerabilidad.
"Dado que vsdatant.sys opera con privilegios de kernel de alto nivel, los atacantes pudieron explotar sus vulnerabilidades, eludiendo las protecciones de seguridad y el software antivirus, y obteniendo el control total de los equipos infectados", declaró la compañía. "Una vez eludidas estas defensas, los atacantes tuvieron acceso completo al sistema subyacente y pudieron acceder a información confidencial, como contraseñas de usuario y otras credenciales almacenadas. Estos datos fueron exfiltrados, lo que facilitó su explotación".
Este desarrollo surge después de que la operación de ransomware RansomHub (también conocido como Greenbottle y Cyclops) se atribuyera al uso de una puerta trasera multifunción, previamente no documentada y con nombre en clave Betruger, por parte de al menos una de sus filiales.
El implante incluye funciones típicamente asociadas con malware implementado como precursor de ransomware, como captura de pantalla, registro de pulsaciones de teclas, escaneo de red, escalamiento de privilegios, volcado de credenciales y exfiltración de datos a un servidor remoto.
"La funcionalidad de Betruger indica que podría haber sido desarrollado para minimizar la cantidad de nuevas herramientas que se instalan en una red objetivo mientras se prepara un ataque de ransomware", declaró Symantec, describiéndolo como una especie de cambio con respecto a otras herramientas personalizadas desarrolladas por grupos de ransomware para la exfiltración de datos.
"El uso de malware personalizado que no sea el cifrado de cargas útiles es relativamente inusual en los ataques de ransomware. La mayoría de los atacantes utilizan herramientas legítimas, se aprovechan de herramientas LoLBas y malware disponible públicamente, como Mimikatz y Cobalt Strike".
Elastic Security Labs ha creado una regla YARA para detectar este rootkit.
Fuente: THN