Los ciberdelincuentes están utilizando una herramienta de evasión de defensa llamada AuKill que no había sido documentada previamente.
Esta herramienta tiene como objetivo deshabilitar el software de detección y respuesta de punto final (EDR) mediante un ataque conocido como Bring Your Own Vulnerable Driver (BYOVD).
Un BYOVD es un método utilizado por los atacantes para introducir controladores de dispositivos maliciosos en un sistema de destino. Estos controladores maliciosos están diseñados para explotar vulnerabilidades en el software de seguridad y permitir que el atacante evada la detección y el análisis.
AuKill
Es una herramienta especialmente peligrosa porque se dirige específicamente a los sistemas de detección y respuesta de punto final, lo que significa que los atacantes pueden evadir fácilmente la vigilancia y el control de los equipos de seguridad. Es fundamental que las empresas tomen medidas para proteger sus sistemas y prevenir ataques de este tipo, tales como la implementación de soluciones de seguridad avanzadas que sean capaces de detectar y bloquear este tipo de amenazas.
Según un informe publicado por el investigador de Sophos, Andreas Klopsch, la herramienta AuKill se aprovecha de una versión obsoleta del controlador utilizado por la versión 16.32 de la utilidad de Microsoft, Process Explorer, para deshabilitar los procesos EDR antes de implementar una puerta trasera o ransomware en el sistema de destino.
La simpleza de un controlador obsoleto
En concreto, AuKill utiliza esta versión obsoleta del controlador para cargar un controlador de dispositivo malicioso en el sistema, lo que permite a los atacantes evadir la detección de los sistemas EDR y llevar a cabo sus acciones maliciosas sin ser detectados.
Es importante destacar que este método no es una técnica nueva en el mundo de la ciberseguridad, pero demuestra que los atacantes siguen buscando formas innovadoras para evadir los sistemas de seguridad. Como resultado, es esencial que las organizaciones se mantengan actualizadas y utilicen soluciones de seguridad avanzadas para mitigar los riesgos y proteger sus sistemas.
La firma de ciberseguridad ha analizado varios incidentes que demuestran el uso de la herramienta de evasión de defensa AuKill desde principios de 2023 para implementar diversas cepas de ransomware como Medusa Locker y LockBit. Hasta el momento, se han identificado seis versiones diferentes de este malware.
La muestra más antigua de AuKill encontrada presenta una marca de tiempo de compilación de noviembre de 2022, lo que sugiere que la herramienta ha estado en desarrollo durante varios meses antes de su uso en los ataques.
Es importante destacar que los atacantes están utilizando cada vez más técnicas sofisticadas y herramientas avanzadas como AuKill para evadir los sistemas de seguridad y llevar a cabo ataques maliciosos. Las organizaciones deben tomar medidas preventivas, como mantener actualizados sus sistemas de seguridad y capacitar a su personal en ciberseguridad, para protegerse de este tipo de amenazas en constante evolución.
BYOVD (Bring Your Own Vulnerable Driver)
Es una técnica que se basa en que los ciberdelincuentes hacen uso malintencionado de un controlador legítimo, pero desactualizado y explotable, que ha sido firmado por Microsoft. En algunos casos, los atacantes pueden utilizar un certificado robado o filtrado para este propósito.
Una vez que el controlador malicioso es cargado en el sistema, los atacantes pueden obtener privilegios elevados y desactivar los mecanismos de seguridad, lo que les permite llevar a cabo ataques sin ser detectados. Es importante destacar que esta técnica se basa en la explotación de vulnerabilidades en el software y no en la explotación de errores humanos, como la ingeniería social.
Los atacantes utilizan esta técnica porque les permite evadir los sistemas de seguridad y llevar a cabo ataques exitosos.
Para mitigar estos riesgos, es fundamental que las empresas tomen medidas preventivas como mantener actualizado su software de seguridad, limitar los privilegios de acceso y utilizar soluciones avanzadas de seguridad que sean capaces de detectar y bloquear este tipo de amenazas.
Uno de los objetivos de la técnica BYOVD es eludir una protección clave de Windows conocida como Driver Signature Enforcement.
Esta protección asegura que los controladores en modo kernel hayan sido firmados por una autoridad de firma de código válida antes de que se les permita ejecutarse.
Sin embargo, mediante el uso de controladores legítimos y explotables, los atacantes pueden burlar esta protección y obtener acceso a los sistemas afectados. Al aprovechar vulnerabilidades en los controladores legítimos, los atacantes pueden cargar controladores maliciosos que les permiten obtener privilegios elevados y desactivar los mecanismos de seguridad del sistema.
Es importante destacar que eludir la protección Driver Signature Enforcement es una técnica avanzada y sofisticada que requiere un conocimiento profundo de las vulnerabilidades del software y de los sistemas operativos.
Para mitigar estos riesgos, es fundamental que las empresas implementen soluciones de seguridad avanzadas y que mantengan actualizado su software de seguridad para evitar que los atacantes puedan aprovechar estas vulnerabilidades y acceder a sus sistemas.
Los investigadores de Sophos señalaron que para que la herramienta AuKill funcione, se requieren privilegios administrativos en el sistema.
Sin embargo, la herramienta no puede otorgar esos privilegios al atacante directamente.
En cambio, los actores de amenazas que usaron AuKill se aprovecharon de los privilegios existentes en el sistema durante los ataques, cuando los obtuvieron por otros medios.
Es decir, los atacantes utilizaron otras técnicas para obtener acceso a los sistemas afectados y, una vez que obtuvieron los privilegios necesarios, utilizaron AuKill para deshabilitar los procesos EDR y llevar a cabo el ataque.
Es importante destacar que los ciberdelincuentes utilizan múltiples técnicas para obtener acceso a sistemas y redes corporativas, incluyendo la ingeniería social, el phishing y la explotación de vulnerabilidades en el software y en los sistemas operativos.
Por esta razón, es fundamental que las empresas implementen una estrategia integral de seguridad que incluya medidas preventivas y de detección avanzada para mitigar estos riesgos y proteger sus sistemas y datos.
En efecto, no es la primera vez que se utiliza el controlador Process Explorer firmado por Microsoft como una herramienta en ataques cibernéticos.
Backstab
En noviembre de 2022, Sophos detalló el uso de una herramienta de código abierto llamada Backstab por parte de los afiliados de LockBit. Esta herramienta también abusaba de versiones obsoletas del controlador para finalizar procesos antimalware protegidos.
Estos incidentes resaltan la importancia de mantener actualizado el software y los sistemas operativos, incluyendo los controladores y las herramientas de seguridad.
Además, destacan la necesidad de contar con soluciones de seguridad avanzadas que permitan detectar y mitigar este tipo de ataques antes de que causen daño.
Es importante que las empresas implementen una estrategia integral de seguridad que incluya medidas preventivas y de detección avanzada.
Como la implementación de políticas de seguridad sólidas, la formación de los empleados en buenas prácticas de seguridad, la implementación de soluciones de seguridad avanzadas y la realización de auditorías regulares de seguridad para garantizar que los sistemas y los datos estén protegidos en todo momento.
A principios de este año, se detectó una campaña de publicidad maliciosa que también utilizaba el controlador Process Explorer para distribuir el cargador .NET llamado MalVirt y así implementar el malware de robo de información FormBook.
Este desarrollo muestra que los actores de amenazas continúan explotando controladores legítimos para llevar a cabo sus ataques. Es fundamental que los usuarios y las organizaciones tomen medidas de seguridad adecuadas para protegerse de estas amenazas.
AhnLab Security Emergency Response Center (ASEC)
Reveló recientemente que los servidores MS-SQL mal administrados están siendo utilizados para instalar el ransomware Trigona.
Esta cepa de ransomware comparte superposiciones con otra conocida como CryLock.
Es esencial que las organizaciones implementen medidas de seguridad adecuadas, como parchear regularmente los sistemas, utilizar contraseñas seguras y realizar copias de seguridad regulares, para prevenir y mitigar los riesgos asociados con estas amenazas.
Los actores del ransomware Play han sido observados utilizando herramientas personalizadas de recolección de datos para realizar un seguimiento de los usuarios y computadoras en una red comprometida.
Estas herramientas también les permiten copiar archivos del servicio de copia de sombra de volumen (VSS).
Por otro lado, Grixba es un malware basado en .NET que escanea máquinas en busca de programas de seguridad, software de respaldo y herramientas de administración remota.
La información recopilada se guarda como archivos CSV que se comprimen en archivos ZIP.
Por último, la banda de ciberdelincuentes Balloonfly utiliza una herramienta de copia de VSS escrita en .NET que utiliza el marco AlphaVSS para enumerar archivos y carpetas en una instantánea de VSS y copiarlos en un directorio de destino antes de cifrarlos.
Play ransomware se destaca no solo por utilizar cifrado intermitente para acelerar el proceso, sino también por el hecho de que no funciona con un modelo de ransomware como servicio (RaaS).
La evidencia recopilada hasta ahora apunta a que Balloonfly lleva a cabo los ataques de ransomware y también desarrolla el malware.
Grixba y VSS Copying Tool
Son las últimas de una larga lista de herramientas propietarias como Exmatter , Exbyte y scripts basados en PowerShell que utilizan los actores de ransomware para establecer un mayor control sobre sus operaciones, al tiempo que agregan capas adicionales de complejidad para persistir en entornos comprometidos y evadir la detección.
Es preocupante ver cómo los actores de ransomware continúan evolucionando y mejorando sus herramientas y técnicas para lograr sus objetivos.
La creciente sofisticación de estas amenazas significa que es más difícil detectar y defenderse contra ellas.
Es importante que las organizaciones tomen medidas proactivas para proteger sus sistemas y datos, como mantener sus sistemas y software actualizados, implementar medidas de seguridad en capas y realizar regularmente copias de seguridad y pruebas de recuperación ante desastres.
El uso de Go para desarrollar malware es una tendencia en aumento
Go es un lenguaje de programación moderno que se está volviendo cada vez más popular debido a su simplicidad, eficiencia y portabilidad.
Además, su compilador incorporado lo hace menos susceptible a ser detectado por soluciones antivirus y de análisis de malware.
Los actores de amenazas están aprovechando estas características para crear malware multiplataforma y evadir la detección.
La técnica de doble extorsión es otra táctica común que utilizan los grupos de ransomware para obligar a las víctimas a pagar el rescate.
En este caso, el atacante cifra los archivos de la víctima y luego amenaza con filtrar los datos confidenciales si no se paga el rescate.
Eludir el seguimiento de eventos para Windows (ETW) es otra técnica utilizada por los atacantes para evitar que las soluciones de seguridad registren ciertos eventos en el sistema.
El uso del lenguaje de programación Go en el desarrollo de malware es una tendencia en aumento.
Esto se debe en gran parte a la capacidad de Go de compilar el código en binarios para múltiples sistemas operativos y arquitecturas, lo que hace que el malware sea más versátil y efectivo.
Además, Go ofrece características que dificultan la detección y el análisis de malware, como la capacidad de ofuscar el código fuente y la baja huella de memoria.
La técnica de doble extorsión también se ha vuelto cada vez más popular entre los actores del ransomware. Esto implica la amenaza de publicar los datos robados si no se paga el rescate además del cifrado de los mismos.
Esta técnica aumenta la presión sobre las víctimas para que paguen, lo que aumenta las ganancias de los ciberdelincuentes.
aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill, aukill,
Por Marcelo Lozano – General Publiher IT CONNECT LATAM
Lea más sobre ciberseguridad en;