Se han observado los actores de amenaza detrás de la operación Medusa Ransomware-As-A-Service (RAAS) utilizando un regulador taimado doblado Despeñadero Como parte de un ataque de traer su propio regulador endeble (BYOVD) diseñado para deshabilitar las herramientas antimalware.
Elastic Security Labs dijo que observó un ataque de ransomware Medusa que entregó al encriptador por medio de un cargador empaquetado con un empacador como servicio (PAAS) llamado HeartCrypt.
“Este cargador se implementó adyacente con un regulador de certificado revocado de un proveedor chino que llamamos Abyssworker, que instala en la máquina víctima y luego usa para apuntar y silenciar a diferentes proveedores de EDR”, dijo la compañía en un referencia.
El conductor en cuestión, “Smuol.sys”, imita un conductor lícito de Falcon CrowdStrike (“csagent.sys”). Se han detectado docenas de artefactos de Abysworker en la plataforma virustotal que data del 8 de agosto de 2024 al 25 de febrero de 2025. Todas las muestras identificadas están firmadas utilizando certificados probablemente robados y revocados de las compañías chinas.
El hecho de que el malware asimismo esté firmado le da una apariencia de confianza y le permite evitar los sistemas de seguridad sin atraer ninguna atención. Vale la pena señalar que el regulador de detección y respuesta de punto final (EDR) fue documentado previamente por Connectwise en enero de 2025 bajo el nombre “NBWDV.SYS”.
Una vez inicializado y osado, AbysSworker está diseñado para amplificar la ID del proceso a una directorio de procesos protegidos globales y escuchar las solicitudes de control de E/S de dispositivos entrantes, que luego se envían a los controladores apropiados según el código de control de E/S.
“Estos manejadores cubren una amplia abanico de operaciones, desde la manipulación de archivos hasta el proceso y la terminación del regulador, proporcionando un conjunto de herramientas integral que puede estilarse para terminar o deshabilitar permanentemente los sistemas EDR”, dijo Elastic.
La directorio de algunos de los códigos de control de E/S está a continuación –
- 0x222080-Habilite el regulador enviando una contraseña “7N6BCAOECBITSUR5-H4RP2NKQXYBFKB0F-WGBJGHGH20PWUUN1-ZXFXDIOYPS6HTP0X”
- 0x2220c0 – Carga de API necesarias del núcleo
- 0x222184 – Copiar archivo
- 0x222180 – Eliminar archivo
- 0x222408 – Mata los hilos del sistema por nombre del módulo
- 0x222400 – Eliminar las devoluciones de llamamiento de notificación por nombre del módulo
- 0x2220c0 – API de carga
- 0x222144 – Terminar el proceso por su identificación de proceso
- 0x222140 – Terminar el hilo por su identificación de hilo
- 0x222084 – Desactivar malware
- 0x222664 – reiniciar la máquina
De particular interés es 0x222400, que puede estilarse para ciegos productos de seguridad buscando y eliminando todas las devoluciones de llamamiento de notificaciones registradas, un enfoque asimismo prohijado por otras herramientas de matanza EDR como EDRSandblast y RealblindingEdr.
Los hallazgos siguen a un referencia de la seguridad de Venak sobre cómo los actores de amenaza están explotando un regulador de núcleo lícito pero endeble asociado con el software Antivirus ZoneAlarm de Check Point como parte de un ataque BYOVD diseñado para obtener privilegios elevados y deshabilitar las características de seguridad de Windows como la integridad de la memoria.
Los actores de la amenaza abusaron del paso privilegiado para establecer una conexión de protocolo de escritorio remoto (RDP) con los sistemas infectados, facilitando el paso persistente. Desde entonces, la carencia ha sido conectada por el punto de control.
“Como vsdatant.sys opera con privilegios de núcleo de suspensión nivel, los atacantes pudieron explotar sus vulnerabilidades, pasando por suspensión las protecciones de seguridad y el software antivirus, y obteniendo el control total de las máquinas infectadas”, dijo la compañía.
“Una vez que se omitieron estas defensas, los atacantes tuvieron paso total al sistema subyacente, los atacantes pudieron consentir a información confidencial, como contraseñas de agraciado y otras credenciales almacenadas. Estos datos se exfiltraron, abriendo la puerta para una longevo explotación”.
El exposición se produce cuando la operación de ransomware RansomHub (asimismo conocida como Greenbottle y Cyclops) se ha atribuido al uso de una entrada en código intermedia multifunción previamente indocumentado por al menos una de sus afiliadas.
El implante viene con características típicamente asociadas con malware implementado como precursor para el ransomware, como la captura de pantalla, el keylogging, el escaneo de redes, la ascensión de privilegios, el residuos de credenciales y la exfiltración de datos a un servidor remoto.
“La funcionalidad de Betruger indica que puede haberse desarrollado para minimizar el número de nuevas herramientas que se caen en una red específica mientras se está preparando un ataque de ransomware”, dijo Symantec, propiedad de Broadcom, que lo describe como una especie de desviación de otras herramientas personalizadas desarrolladas por grupos de ransomware para la exfiltración de datos.
“El uso de malware personalizado que no sea acelerar cargas avíos es relativamente inusual en los ataques de ransomware. La mayoría de los atacantes dependen de herramientas legítimas, viven fuera de la tierra y malware habitable públicamente como Mimikatz y Cobalt Strike”.
