Se han observado los actores de amenaza detrás de la operación Medusa Ransomware-As-A-Service (RAAS) utilizando un controlador malicioso doblado Abismo Como parte de un ataque de traer su propio controlador vulnerable (BYOVD) diseñado para deshabilitar las herramientas antimalware.
Elastic Security Labs dijo que observó un ataque de ransomware Medusa que entregó al encriptador por medio de un cargador empaquetado con un empacador como servicio (PAAS) llamado HeartCrypt.
«Este cargador se implementó junto con un controlador de certificado revocado de un proveedor chino que llamamos Abyssworker, que instala en la máquina víctima y luego usa para apuntar y silenciar a diferentes proveedores de EDR», dijo la compañía en un informe.
El conductor en cuestión, «Smuol.sys», imita un conductor legítimo de Falcon CrowdStrike («csagent.sys»). Se han detectado docenas de artefactos de Abysworker en la plataforma virustotal que data del 8 de agosto de 2024 al 25 de febrero de 2025. Todas las muestras identificadas están firmadas utilizando certificados probablemente robados y revocados de las compañías chinas.
El hecho de que el malware también esté firmado le da una apariencia de confianza y le permite evitar los sistemas de seguridad sin atraer ninguna atención. Vale la pena señalar que el controlador de detección y respuesta de punto final (EDR) fue documentado previamente por Connectwise en enero de 2025 bajo el nombre «NBWDV.SYS».
Una vez inicializado y lanzado, AbysSworker está diseñado para agregar la ID del proceso a una lista de procesos protegidos globales y escuchar las solicitudes de control de E/S de dispositivos entrantes, que luego se envían a los controladores apropiados según el código de control de E/S.
«Estos manejadores cubren una amplia gama de operaciones, desde la manipulación de archivos hasta el proceso y la terminación del controlador, proporcionando un conjunto de herramientas integral que puede usarse para terminar o deshabilitar permanentemente los sistemas EDR», dijo Elastic.
La lista de algunos de los códigos de control de E/S está a continuación –
- 0x222080-Habilite el controlador enviando una contraseña «7N6BCAOECBITSUR5-H4RP2NKQXYBFKB0F-WGBJGHGH20PWUUN1-ZXFXDIOYPS6HTP0X»
- 0x2220c0 – Carga de API necesarias del núcleo
- 0x222184 – Copiar archivo
- 0x222180 – Eliminar archivo
- 0x222408 – Mata los hilos del sistema por nombre del módulo
- 0x222400 – Eliminar las devoluciones de llamada de notificación por nombre del módulo
- 0x2220c0 – API de carga
- 0x222144 – Terminar el proceso por su identificación de proceso
- 0x222140 – Terminar el hilo por su identificación de hilo
- 0x222084 – Desactivar malware
- 0x222664 – reiniciar la máquina
De particular interés es 0x222400, que puede usarse para ciegos productos de seguridad buscando y eliminando todas las devoluciones de llamada de notificaciones registradas, un enfoque también adoptado por otras herramientas de matanza EDR como EDRSandblast y RealblindingEdr.
Los hallazgos siguen a un informe de la seguridad de Venak sobre cómo los actores de amenaza están explotando un controlador de núcleo legítimo pero vulnerable asociado con el software Antivirus ZoneAlarm de Check Point como parte de un ataque BYOVD diseñado para obtener privilegios elevados y deshabilitar las características de seguridad de Windows como la integridad de la memoria.
Los actores de la amenaza abusaron del acceso privilegiado para establecer una conexión de protocolo de escritorio remoto (RDP) con los sistemas infectados, facilitando el acceso persistente. Desde entonces, la laguna ha sido conectada por el punto de control.
«Como vsdatant.sys opera con privilegios de núcleo de alto nivel, los atacantes pudieron explotar sus vulnerabilidades, pasando por alto las protecciones de seguridad y el software antivirus, y obteniendo el control total de las máquinas infectadas», dijo la compañía.
«Una vez que se omitieron estas defensas, los atacantes tuvieron acceso total al sistema subyacente, los atacantes pudieron acceder a información confidencial, como contraseñas de usuario y otras credenciales almacenadas. Estos datos se exfiltraron, abriendo la puerta para una mayor explotación».
El desarrollo se produce cuando la operación de ransomware RansomHub (también conocida como Greenbottle y Cyclops) se ha atribuido al uso de una entrada en código intermedia multifunción previamente indocumentado por al menos una de sus afiliadas.
El implante viene con características típicamente asociadas con malware implementado como precursor para el ransomware, como la captura de pantalla, el keylogging, el escaneo de redes, la escalada de privilegios, el vertido de credenciales y la exfiltración de datos a un servidor remoto.
«La funcionalidad de Betruger indica que puede haberse desarrollado para minimizar el número de nuevas herramientas que se caen en una red específica mientras se está preparando un ataque de ransomware», dijo Symantec, propiedad de Broadcom, que lo describe como una especie de desviación de otras herramientas personalizadas desarrolladas por grupos de ransomware para la exfiltración de datos.
«El uso de malware personalizado que no sea cifrar cargas útiles es relativamente inusual en los ataques de ransomware. La mayoría de los atacantes dependen de herramientas legítimas, viven fuera de la tierra y malware disponible públicamente como Mimikatz y Cobalt Strike».