ClickCease El ransomware BlackCat se aprovecha de los controladores firmados del núcleo de Windows

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

El ransomware BlackCat se aprovecha de los controladores firmados del núcleo de Windows

12 de junio de 2023 - Equipo de RRPP de TuxCare

Trend Micro ha revelado detalles sobre un ataque de ransomware que utilizaba el virus ALPHV/BlackCat. El ataque empleaba una sofisticada técnica que implicaba el uso de controladores maliciosos firmados del kernel de Windows, lo que permitía a los atacantes eludir la detección y ejecutar su código malicioso.

Los autores del ataque utilizaron una versión mejorada de un malware que ya había sido identificado por Mandiant, Sophos y Sentinel One en diciembre de 2022. Para infiltrarse en los sistemas objetivo, los atacantes trataron de explotar un conocido controlador llamado ktgn.sys, que había sido firmado utilizando pasarelas de firma de Microsoft. Esto les proporcionó acceso de alto nivel al sistema operativo, lo que les permitió desactivar eficazmente las operaciones de los productos defensivos.

A pesar de tener su certificado revocado, el controlador firmado ktgn.sys continuó ejecutándose en ordenadores Windows de 64 bits. Como el controlador podía ejecutarse sin encontrar ninguna barrera, esto suponía un riesgo importante para los sistemas objetivo. El controlador del kernel también tenía una interfaz IOCTL, que permitía al agente de usuario malicioso tjr.exe emitir instrucciones con privilegios del kernel. Por motivos de seguridad, el agente de usuario tjr.exe se ejecutaba dentro de una máquina virtual e instalaba el controlador, denominado "ktgn", en el directorio temporal del usuario. El controlador se configuró para ejecutarse como "Sistema", asegurando que se ejecutaría al reiniciar el sistema.

El controlador malicioso utilizaba Safengine Protector v2.4.0.0 para ofuscar su código, lo que complicaba aún más los esfuerzos de análisis y detección. Esto dificultó los métodos establecidos para analizar y detectar el controlador. Según las investigaciones de Mandiant, el uso de una versión actualizada de este controlador también indicaba un vínculo entre la banda de ransomware y las organizaciones UNC3944/Scattered Spider, las cuales habían utilizado previamente un precursor del mismo controlador en sus ataques.

Los investigadores observaron, sin embargo, que el controlador se encontraba todavía en fase de desarrollo y pruebas, con una mala estructura y funcionalidades clave que aún no estaban operativas. A pesar de estos límites, la amenaza a totes sigue adelante consiguiendo acceso de alto privilegio al sistema operativo Windows y burlando las plataformas de protección de puntos finales (EPP) y los sistemas de detección y respuesta de puntos finales (EDR).

Según la investigación, dado que las soluciones de seguridad ofrecen capas de protección mejoradas, los atacantes suelen recurrir a la explotación de la capa del kernel o de niveles inferiores para garantizar la ejecución efectiva de su código malicioso. Como resultado, se espera que los rootkits y los ataques relacionados sigan siendo componentes importantes de los conjuntos de herramientas de los actores de amenazas en un futuro próximo.

Las fuentes de este artículo incluyen un artículo en SecurityAffairs.

Resumen
El ransomware BlackCat se aprovecha de los controladores firmados del núcleo de Windows
Nombre del artículo
El ransomware BlackCat se aprovecha de los controladores firmados del núcleo de Windows
Descripción
Trend Micro ha descubierto un ataque de ransomware que utilizaba el virus ALPHV/BlackCat mediante controladores maliciosos firmados del núcleo de Windows.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín