Introducción
En el ámbito de la ciberseguridad, las técnicas de evasión de seguridad se encuentran en constante evolución. Recientemente, los actores maliciosos asociados con las operaciones de ransomware Qilin y Warlock han sido observados utilizando técnicas avanzadas para evadir las medidas de seguridad. Estas técnicas se centran principalmente en el uso de controladores vulnerables para desactivar herramientas de detección y respuesta ante amenazas, conocidas como herramientas EDR (Endpoint Detection and Response).
Detalles de la noticia
Según los hallazgos de Cisco Talos y Trend Micro, los actores de amenazas están implementando la técnica conocida como Bring Your Own Vulnerable Driver (BYOVD) para silenciar las herramientas de seguridad que se ejecutan en los hosts comprometidos. Esta técnica implica la utilización de controladores legítimos que contienen vulnerabilidades conocidas, permitiendo a los atacantes desactivar más de 300 herramientas EDR y antivirus efectivas.
El ataque de Qilin, en particular, ha sido analizado por Talos, revelando el despliegue de una DLL maliciosa nombrada «msimg32.dll» en los sistemas comprometidos. Esta DLL busca interferir con las funciones de las herramientas de seguridad, facilitando así la ejecución del ransomware sin ser detectado.
Implicaciones de seguridad
El uso de BYOVD representa un desafío significativo para los equipos de seguridad, ya que los controladores vulnerables pueden ser difíciles de detectar debido a su naturaleza legítima. Este enfoque permite a los atacantes acceder a los sistemas con privilegios elevados, desactivando las protecciones críticas y permitiendo que el ransomware se ejecute sin obstáculos.
Recomendaciones prácticas
Para mitigar el riesgo asociado con estas técnicas, se recomienda a las organizaciones implementar una serie de medidas de seguridad:
- Actualización constante: Asegúrese de que todos los controladores y software estén actualizados con los últimos parches para minimizar la exposición a vulnerabilidades conocidas.
- Monitorización y auditoría: Implemente sistemas de monitorización continua para detectar actividades inusuales en la red y audite regularmente los controladores instalados.
- Segmentación de red: Aísle los sistemas críticos para limitar el alcance de un posible ataque y reducir el impacto de una intrusión.
Enlaces relacionados
Para más información sobre este tema y cómo las organizaciones pueden protegerse, se recomienda consultar la fuente original.
Conclusión
El uso de controladores vulnerables por parte de grupos de ransomware como Qilin y Warlock subraya la necesidad de una vigilancia continua y la implementación de medidas de seguridad avanzadas. Al estar conscientes de estas tácticas y actualizar constantemente los sistemas, las organizaciones pueden proteger mejor sus infraestructuras contra tales amenazas emergentes.
Preguntas frecuentes (FAQ)
- ¿Qué es la técnica BYOVD?
Es una técnica utilizada por atacantes que implica el uso de controladores legítimos pero vulnerables para evadir las medidas de seguridad en los sistemas comprometidos. - ¿Cómo afecta el ransomware Qilin a los sistemas?
El ransomware Qilin utiliza DLL maliciosas para desactivar herramientas de seguridad, permitiendo que el ransomware se ejecute sin ser detectado. - ¿Qué medidas pueden tomar las organizaciones para protegerse?
Las organizaciones deben mantener sus sistemas actualizados, implementar monitorización continua y segmentar sus redes para mitigar los riesgos.
Adaptado con Inteligencia Artificial – © Canal Ayuda
Fuente Original: Leer artículo completo