Los grupos de ransomware Qilin y Warlock (también conocido como “Water Manaul”) utilizan técnicas de "traiga su propio controlador vulnerable" (BYOVD) para deshabilitar las herramientas de seguridad de endpoints en sistemas Windows. Estos ciberdelincuentes pueden desactivar más de 300 controladores EDR de diversos proveedores de seguridad.
Análisis de la Amenaza
Qilin y Warlock utilizan técnicas BYOVD para obtener control a nivel de kernel de los sistemas Windows y deshabilitar las herramientas de seguridad antes de lanzar ataques de ransomware. Qilin implementa un archivo malicioso msimg32.dll a través de un proceso de confianza para ejecutar un "asesino de EDR" en memoria, reduciendo el registro y ocultando la actividad. Esta carga útil abusa de controladores vulnerables como rwdrv.sys (un ThrottleStop.sys renombrado ) y hlpdrv.sys para acceder a la memoria del sistema y deshabilitar más de 300 productos EDR deteniendo sus procesos, descargando controladores y eliminando los ganchos de monitoreo y la visibilidad de Event Tracing for Windows (ETW).
Qilin suele obtener acceso mediante credenciales robadas y dedica aproximadamente seis días a moverse lateralmente y preparar su ataque antes de desplegar el ransomware. Warlock, por el contrario, explota servidores Microsoft SharePoint sin parchear para obtener acceso inicial y utiliza el controlador vulnerable NSecKrnl.sys —que reemplaza al anterior googleApiUtil64.sys— para deshabilitar las herramientas de seguridad a nivel del kernel. Warlock también depende en gran medida de herramientas administrativas y de código abierto comunes, como TightVNC, PsExec, RDP Patcher, Velociraptor, Visual Studio Code con Cloudflare Tunnel y Yuze, y Rclone, para mantener el acceso, moverse lateralmente y extraer datos antes del cifrado.
- rwdrv.sys (un ThrottleStop.sys renombrado ) y hlpdrv.sys
La importancia de la vulnerabilidad
Estas campañas demuestran que los operadores de ransomware modernos ya no se centran únicamente en el cifrado, sino que atacan deliberadamente la capa del kernel para cegar primero a los defensores. La capacidad de deshabilitar cientos de controladores EDR de distintos proveedores socava la suposición de que las protecciones de los endpoints permanecerán activas durante un ataque. Qilin es uno de los grupos de ransomware más activos en la actualidad, mientras que el conjunto de herramientas en constante evolución de Warlock sugiere que la elusión de EDR basada en BYOVD se está convirtiendo en una técnica estándar. En consecuencia, la integridad de los controladores y del kernel son ahora preocupaciones de seguridad primordiales, no medidas de refuerzo opcionales.
El verdadero riesgo de las organizaciones
Las organizaciones con sistemas conectados a internet sin actualizar en particular Microsoft SharePoint se enfrentan a un mayor riesgo debido a los patrones de explotación conocidos de Warlock. El uso que hacen los atacantes de herramientas administrativas legítimas permite que la actividad se mimetice con las operaciones informáticas habituales.
Exposición y Riesgo Organizacional
Este tipo de incidentes refuerza una realidad incómoda:
- El acceso a nivel de kernel también permite manipular los registros y el comportamiento del sistema, lo que dificulta la detección, la investigación y la recuperación.
- En entornos regulados o de misión crítica, esto puede provocar interrupciones prolongadas, incumplimiento de normativas y un daño significativo a la reputación.
Estrategias de Mitigación
Las acciones inmediatas son claras:
| Área de Enfoque | Acción Recomendada |
|---|---|
| Controladores | Refuerce los controles de controladores y del núcleo: utilice listas de controladores permitidos (como WDAC o Integridad del código), habilite y mantenga la lista de bloqueo de controladores vulnerables de Microsoft y elimine los controladores obsoletos o innecesarios, especialmente los controladores de optimización y de seguridad heredados. |
| Instalaciones | Supervise la manipulación de BYOVD y EDR: reciba alertas sobre nuevas instalaciones o cargas de controladores, archivos .sys sospechosos (por ejemplo, rwdrv.sys , ThrottleStop.sys , hlpdrv.sys , NSecKrnl.sys ) y fallos repentinos del agente EDR o pérdida de telemetría. |
| Accesos | Reduzca las vías de acceso iniciales: priorice la actualización de los servicios con acceso a Internet, como Microsoft SharePoint, aplique la autenticación multifactor (MFA) y una estricta higiene de credenciales, y minimice las cuentas administrativas permanentes. |
| Limites de acceso | Limitar las herramientas de doble uso: Restringir o controlar estrictamente PsExec, TightVNC, RDP Patcher, Rclone y utilidades similares mediante el principio de mínimo privilegio, el control de aplicaciones y el acceso justo a tiempo. |
| EDR | Refuerce la detección y la respuesta: centralice los registros de puntos finales, controladores y redes en plataformas SIEM/XDR, cree detecciones para patrones de acceso remoto inusuales y túneles, y desarrolle manuales de procedimientos para actividades sospechosas de BYOVD o de desactivación de EDR. |
| Testeo | Coordinar y probar: Involucrar a los proveedores de EDR y sistemas operativos en las protecciones BYOVD e incluir escenarios de manipulación de EDR en ejercicios de equipo rojo, equipo morado o simulacros de mesa para validar las defensas y la preparación para la respuesta. |
Axios y la importancia de su uso:
Una vez desactivado EDR, los atacantes pueden moverse sigilosamente por el entorno, localizar sistemas críticos y robar datos con poca o ninguna detección. Esto puede comprometer completamente la organización.
