Ransomware Qilin y Warlock: Desenmascarando Tácticas BYOVD para Silenciar EDRs y Evadir Detección

Blog Noticias generales Todos los autores Todas las etiquetas
Lo sentimos, el contenido de esta página no está disponible en el idioma seleccionado
Alex Vance

La Amenaza Creciente de BYOVD: Operaciones de Ransomware Qilin y Warlock

En el panorama cambiante de las ciberamenazas, operaciones de ransomware sofisticadas como Qilin y Warlock están siendo pioneras en técnicas de evasión avanzadas, específicamente el ataque Bring Your Own Vulnerable Driver (BYOVD). Este método permite a los actores de amenazas aprovechar controladores de modo kernel legítimos, firmados pero vulnerables, para obtener privilegios de Ring-0, eludiendo y deshabilitando eficazmente las soluciones críticas de detección y respuesta de endpoints (EDR). Hallazgos recientes de los gigantes de la ciberseguridad Cisco Talos y Trend Micro ilustran la alarmante escala de estas operaciones, con capacidades observadas para neutralizar más de 300 herramientas EDR.

Comprendiendo el Mecanismo BYOVD en Ataques de Ransomware

La técnica BYOVD representa una escalada significativa en las capacidades de los actores de amenazas. En lugar de desarrollar sus propios controladores de kernel maliciosos, que son difíciles de firmar e implementar sin activar alertas de seguridad inmediatas, los atacantes explotan vulnerabilidades existentes dentro de controladores legítimos y firmados digitalmente. Estos controladores, a menudo de proveedores de hardware o software reputados, poseen fallas conocidas que pueden ser abusadas para ejecutar código arbitrario con privilegios de nivel de kernel.

  • Punto de Apoyo Inicial: El ataque generalmente comienza con un vector de acceso inicial estándar, como phishing, explotación de aplicaciones expuestas al público o credenciales comprometidas.
  • Implementación del Controlador: Una vez dentro, el ransomware implementa un controlador legítimo y vulnerable (por ejemplo, de una utilidad de hardware obsoleta) e interactúa con él utilizando códigos de control de E/S (IOCTL) estándar.
  • Escalada de Privilegios: Al enviar IOCTLs especialmente diseñados al controlador vulnerable, el actor de amenazas puede lograr primitivas arbitrarias de lectura/escritura en modo kernel. Esto les permite manipular estructuras del kernel, deshabilitar mecanismos de seguridad o inyectar su propio código malicioso en el kernel.

Ransomware Qilin: El Engaño de 'msimg32.dll'

El análisis de Cisco Talos sobre los ataques de ransomware Qilin reveló una táctica específica e insidiosa: la implementación de una DLL maliciosa llamada "msimg32.dll". Esta DLL no es simplemente una carga útil; es fundamental para orquestar el ataque BYOVD. Si bien el controlador vulnerable exacto explotado por Qilin puede variar, el principio sigue siendo consistente:

  • La msimg32.dll actúa como un cargador u orquestador, responsable de dejar caer el controlador legítimo vulnerable en el sistema.
  • Luego interactúa con este controlador legítimo para lograr la ejecución en modo kernel, permitiendo que el ransomware deshabilite los productos de seguridad terminando procesos, desenganchando devoluciones de llamada de EDR o modificando políticas de seguridad a nivel de kernel.
  • Este enfoque proporciona un medio sigiloso y altamente efectivo para neutralizar los EDR, que operan principalmente monitoreando las actividades en modo de usuario y modo de kernel a través de varios hooks y devoluciones de llamada. Con acceso a nivel de kernel, Qilin puede eliminar estos hooks o manipular directamente los procesos de EDR.

Ransomware Warlock: Amplias Capacidades de Deshabilitación de EDR

La investigación de Trend Micro destaca que el ransomware Warlock también emplea BYOVD, mostrando una capacidad aún más amplia para deshabilitar herramientas de seguridad. La gran cantidad de EDRs (más de 300) dirigidos por estos grupos subraya el impacto generalizado y la sofisticada inteligencia de amenazas y herramientas necesarias para identificar y explotar vulnerabilidades en una gama tan diversa de productos de seguridad.

La similitud entre estos grupos de ransomware es su comprensión de que los EDRs, a pesar de sus heurísticas avanzadas y análisis de comportamiento, dependen en última instancia de la integridad del kernel del sistema operativo. Al comprometer esta capa fundamental, el ransomware puede operar con casi impunidad, cifrando datos y extorsionando a las víctimas sin una resistencia significativa.

Estrategias Defensivas contra Ataques BYOVD

La mitigación de ataques BYOVD requiere una estrategia de defensa multicapa y proactiva:

  • Lista Negra de Controladores: Implementar políticas estrictas de lista negra de controladores (por ejemplo, Windows Defender Application Control - WDAC, Hypervisor-Protected Code Integrity - HVCI) para evitar la carga de controladores vulnerables conocidos. Las organizaciones deben actualizar regularmente estas listas basándose en la inteligencia de amenazas.
  • Fortalecimiento de Endpoints: Aplicar una lista blanca de aplicaciones y una gestión de privilegios estrictas. Limitar los privilegios de usuario para evitar la instalación de controladores no firmados o no autorizados.
  • EDR/XDR Avanzados: Implementar soluciones EDR/XDR con visibilidad robusta a nivel de kernel y capacidades de verificación de integridad que puedan detectar patrones anómalos de carga o interacción de controladores.
  • Análisis Forense de Memoria: Mejorar las capacidades de respuesta a incidentes con análisis forense de memoria avanzado para detectar rootkits a nivel de kernel o modificaciones indicativas de BYOVD.
  • Integración de Inteligencia de Amenazas: Integrar y actuar continuamente sobre la inteligencia de amenazas con respecto a los controladores vulnerables recién descubiertos y las técnicas de explotación BYOVD.
  • Gestión de Parches: Mantener un programa riguroso de gestión de parches para los sistemas operativos y todo el software instalado, especialmente los controladores, para eliminar las vulnerabilidades conocidas.

Respuesta a Incidentes y Atribución de Actores de Amenazas con Herramientas OSINT

Durante el análisis post-compromiso o los esfuerzos de atribución de actores de amenazas, comprender el vector inicial y los posibles puntos de comunicación externos es primordial. Herramientas como grabify.org pueden ser instrumentales en ciertos escenarios OSINT. Si bien no es una herramienta forense primaria para hosts comprometidos, puede ser utilizada por investigadores para recopilar telemetría avanzada – incluyendo direcciones IP, cadenas de User-Agent, detalles del ISP y huellas dactilares de dispositivos – de enlaces o comunicaciones sospechosas observadas durante el reconocimiento de red o el análisis de campañas de phishing. Estos datos granulares ayudan a identificar el origen geográfico de un ataque, perfilar la infraestructura del atacante o confirmar el alcance de los enlaces maliciosos, proporcionando metadatos cruciales para una recopilación de inteligencia y un análisis de enlaces más amplios. Por ejemplo, si un actor de amenazas se comunica a través de un enlace o foro específico, incrustar una URL de seguimiento puede recopilar pasivamente inteligencia sobre sus patrones de acceso sin interacción directa. Esta extracción de metadatos es vital para construir una imagen completa de las TTPs (Tácticas, Técnicas y Procedimientos) del adversario.

Conclusión

El auge de BYOVD en las operaciones de ransomware Qilin y Warlock significa un cambio crítico en la carrera armamentista de la evasión. Los defensores deben ir más allá de las protecciones tradicionales en modo de usuario y adoptar una seguridad más profunda a nivel de kernel, una inteligencia de amenazas robusta y capacidades forenses avanzadas para contrarrestar estas amenazas sofisticadas. Una postura de seguridad proactiva y adaptable ya no es una opción sino una necesidad para salvaguardar la infraestructura crítica del ransomware que puede silenciar incluso las herramientas EDR más avanzadas.

qilin-ransomwarewarlock-ransomwarebyovdedr-evasionkernel-exploitationcybersecurity