Investigadores observaron que, actores de amenazas detrás de la operación ransomware como servicio (RaaS) Medusa utilizan un controlador malicioso denominado ABYSSWORKER como parte de un ataque conocido como «traiga su propio controlador vulnerable», por sus siglas en ingles (BYOV), dicho ataque, fue diseñado para deshabilitar las herramientas antimalware. Según lo observado por Elastic Security Labs el ataque se basa en la entrega de un cifrador por medio de un cargador usando un empaquetador como servicio (PaaS) llamado HeartCrypt.
«Este cargador se implementó junto con un controlador firmado con certificado revocado de un proveedor chino al que llamamos ABYSSWORKER, que se instala en la máquina víctima y luego utiliza para atacar y silenciar a diferentes proveedores de EDR«, dijo la compañía en un informe.
El controlador en cuestión, «smuol.sys», imita un controlador CrowdStrike Falcon legítimo («CSAgent.sys»). Se han detectado decenas de artefactos ABYSSWORKER en la plataforma VirusTotal desde el 8 de agosto de 2024 hasta el 25 de febrero de 2025. Todas las muestras identificadas están firmadas con certificados probablemente robados y revocados de empresas chinas.
Una vez inicializado y lanzado, ABYSSWORKER está diseñado para agregar el ID del proceso a una lista de procesos protegidos globales y escuchar solicitudes de control de E/S del dispositivo entrante, que luego se envían a los controladores apropiados según el código de control de E/S. A continuación, se muestran algunos de estos códigos mencionados:
- 0x222080 – Habilite el controlador enviando la contraseña «7N6bCAoECbItsUR5-h4Rp2nkQxybfKb0F-wgbJGHGh20pWUuN1-ZxfXdiOYps6HTp0X»
- 0x2220c0 – Cargar las API del kernel necesarias
- 0x222184 – Copiar archivo
- 0x222180 – Eliminar archivo
- 0x222408 – Matar subprocesos del sistema por nombre de módulo
- 0x222400 – Eliminar devoluciones de llamadas de notificación por nombre de módulo
- 0x2220c0 – Cargar API
- 0x222144 – Finalizar proceso por su ID de proceso
- 0x222140 – Finalizar hilo por su ID de hilo
- 0x222084 – Deshabilitar malware
- 0x222664 – Reiniciar la máquina
De los códigos mencionados el de mayor interés es el 0x222400, ya que se puede utilizar para cegar productos de seguridad mediante la búsqueda y eliminación de todas las devoluciones de llamadas de notificación registradas, un enfoque también adoptado por otras herramientas de eliminación de EDR como EDRSandBlast y RealBlindingEDR .
Los hallazgos surgen de un informe de Venak Security sobre cómo los actores de amenazas están explotando un controlador de kernel legítimo pero vulnerable asociado con el software antivirus ZoneAlarm de Check Point como parte de un ataque BYOVD diseñado para obtener privilegios elevados y deshabilitar funciones de seguridad de Windows como la integridad de la memoria.
El uso de malware personalizado, además del cifrado de cargas útiles, es relativamente inusual en los ataques de ransomware. La mayoría de los atacantes utilizan herramientas legítimas, como Mimikatz, Cobalt Strike, etc. Tras una revisión exhaustiva, Chek Point confirmó que las versiones lanzadas en los últimos 8 años no son vulnerables a este problema, por lo que recomienda a los usuarios, asegurarse de tener la versión más reciente de Check Point ZoneAlarm o Check Point Harmony Endpoint, que incluye protecciones mejoradas contra ataques tipo BYOVD.
Fuente
Ciberprisma - alianza por la ciberseguridad 