Ataques BYOVD son aprovechados por Ransomware Medusa

Recientemente se ha observado que la operación de ransomware como servicio (RaaS) Medusa; utiliza un control malicioso llamado ABYSSWORKER en ataques de tipo “BYOVD” por sus siglas en ingles (Traiga su propio controlador Vulnerable). Esta técnica permite a los atacantes desactivar el software de seguridad explotando controladores legítimos y vulnerables para obtener privilegios a nivel kernel.

¿Cuál es la amenaza?

El grupo responsable del ransomware Medusa es conocido por sus tácticas agresivas, incluyendo la doble extorsión. Una herramienta crucial en su arsenal es el controlador ABYSSWORKER, que instala un kernel en el sistema operativo. Una vez activo, el controlador explota vulnerabilidades para obtener privilegios elevados, otorgado a los atacantes control total del sistema.

¿Por qué es digno de mención?

Los afiliados de Medusa obtienen acceso inicial mediante phishing, explotación de vulnerabilidades o ataques de fuerza bruta. Utilizan ABYSSWORKER como controlador firmado, evadiendo las comprobaciones de seguridad mediante un certificado robado o vulnerable. Una vez instalado, el kernel desactiva el software de Detección y Respuesta de Endpoits (EDR) y el antivirus (AV), evadiendo de este modo la detección manipulando los registros del sistema permitiendo así la implementación de una carga de ransomware. El malware cifra los archivos, les añade una extensión única y exige un rescate para descifrarlos, robando los datos confidenciales para presionar aún más a las víctimas.

¿Cuál es el riesgo?

Con privilegios a nivel kernel, ABYSSWORKER puede desactivar soluciones de seguridad y evadir la detección, lo que permite a los atacantes mantener el acceso a largo plazo. Esto provocaría interrupciones operativas, pérdida de datos y perjuicios financieros por las exigencias de rescate. Si los atacantes comprometen a proveedores externos, pueden propagar el controlador malicioso a múltiples víctimas.

Construcción de anillos de ciberseguridad.

Recomendaciones

Se recomienda realizar algunas de las siguientes acciones para mitigar el impacto:

• Habilite el control de aplicaciones de Windows Defender o la integridad de Código protegida por Hipervisor para bloquear controladores no confiables.
• Implemente políticas estrictas de firmas de controladores.
• Utilice soluciones avanzadas de detección y respuesta de Endpoints para detectar y prevenir ataques a nivel de kernel.
• Segmente la red para limitar el movimiento lateral de los atacantes, manteniendo copas de seguridad periódicas y sin conexión de datos críticos.
• Restrinja los privilegios de usuario para minimizar el impacto de las cuentas comprometidas.
• Mantenga todo el software y los controladores actualizados para evitar la explotación de vulnerabilidades conocidas.

Empieza a ahorrar con nuestros servicios de ciberseguridad administrados, contáctanos ahora mismo:

• Sitio web: Cobra Networks proveedor de Ciberseguridad en México para las marcas de Barracuda Networks, Censornet, Untangle
• Teléfono: +52(55)5599-0691
• Correo de contacto: ventas@cobranetworks.lat

JR