AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### El ransomware Reynolds incorpora un controlador vulnerable para evadir defensas y refuerza la tendencia de ataques sofisticados

admin

#### Introducción

La incorporación de controladores vulnerables en la cadena de ataque de ransomware está consolidándose como una de las técnicas de evasión de defensas más preocupantes y difíciles de mitigar en el panorama actual de ciberseguridad. Recientemente, investigadores han identificado que la variante de ransomware Reynolds integra un nuevo controlador vulnerable, lo que marca un salto cualitativo en la sofisticación de los ataques y en la profesionalización de las operaciones de ransomware-as-a-service (RaaS). Este artículo analiza en profundidad el funcionamiento de este vector, sus implicaciones para los equipos de seguridad y las medidas recomendadas para su mitigación.

#### Contexto del Incidente

El ransomware Reynolds, detectado por primera vez a finales de 2023, ha sido objeto de múltiples investigaciones debido a su estrategia de ataque modular y su preferencia por el uso de técnicas avanzadas de evasión. En su última campaña, analistas de amenazas han identificado la inclusión de un controlador (driver) vulnerable recién divulgado, cuya explotación permite al malware sortear mecanismos de protección en sistemas Windows, tales como EDRs, antivirus y soluciones de control de integridad. Esta táctica ha sido observada previamente en otras familias de ransomware, pero la velocidad con la que los operadores de Reynolds han adoptado el nuevo driver pone de manifiesto la agilidad del ecosistema criminal en la adopción de herramientas legítimas con vulnerabilidades conocidas (Bring Your Own Vulnerable Driver, BYOVD).

#### Detalles Técnicos

Las investigaciones han revelado que el driver incrustado corresponde a una versión vulnerable recientemente publicada, identificada bajo el CVE-2024-xxxx (por motivos de protección, se omite el identificador exacto hasta la disponibilidad pública del parche). Este controlador, originalmente destinado a funciones de monitoreo hardware, permite la escalada de privilegios local y la desactivación de procesos críticos de seguridad mediante la manipulación directa de memoria kernel y la desactivación de hooks de EDR.

– **Vectores de ataque**: El vector principal consiste en la carga del driver vulnerable a través de un loader propio del ransomware, que primero verifica la versión del sistema operativo y los privilegios disponibles. Tras obtener acceso SYSTEM, el malware instala el controlador y ejecuta rutinas de eliminación de procesos de protección (KillAV), deshabilitando servicios de seguridad y permitiendo la posterior ejecución de cifrado sin interferencias.
– **TTPs MITRE ATT&CK**: Destacan las técnicas T1068 (Explotación de vulnerabilidades de elevación de privilegios), T1562 (Impair Defenses: Disable or Modify Tools), y T1014 (Rootkit).
– **IoC**: Entre los indicadores de compromiso identificados se encuentran hashes SHA256 del driver, firmas digitales sospechosas (a menudo robadas o caducadas), y artefactos en el registro de Windows indicando la carga de controladores no firmados.
– **Herramientas usadas**: Se ha observado el uso de frameworks como Metasploit para la recopilación de información previa a la explotación, así como scripts personalizados para la manipulación de drivers y evasión de EDR.

#### Impacto y Riesgos

El uso de controladores vulnerables multiplica la capacidad de los atacantes para evadir controles de seguridad, especialmente en entornos donde las políticas de restricción de drivers no están debidamente configuradas. Se estima que cerca del 12% de los ataques de ransomware detectados en el primer semestre de 2024 incluyeron la táctica BYOVD, con pérdidas económicas medias por incidente superiores a los 1,2 millones de euros, según datos de ENISA. La facilidad con la que los atacantes pueden integrar nuevos drivers vulnerables, sumado a la disponibilidad de exploits públicos y la dificultad para mantener actualizadas las listas de bloqueo, incrementa el riesgo para organizaciones de todos los tamaños.

#### Medidas de Mitigación y Recomendaciones

Para mitigar el impacto de este tipo de ataques, se recomienda:

– **Implementar políticas estrictas de Device Guard y Application Control**, bloqueando la instalación de drivers no firmados o no incluidos en listas blancas.
– **Actualizar recurrentemente las listas de drivers bloqueados** (Microsoft vulnerable driver blocklist), ya que los atacantes suelen explotar vulnerabilidades divulgadas recientemente.
– **Desplegar soluciones de EDR que monitoricen la carga de drivers y detecten comportamientos anómalos en modo kernel**.
– **Reforzar la segmentación de redes y los privilegios locales**, evitando la ejecución de código con permisos elevados fuera de contextos estrictamente controlados.
– **Simular ataques BYOVD en ejercicios de Red Teaming y Purple Teaming** para validar la eficacia de los controles implantados.

#### Opinión de Expertos

Especialistas como Javier Candau (CCN-CERT) y Marta Beltrán (Universidad Rey Juan Carlos) advierten que la tendencia BYOVD es especialmente peligrosa por el desfase entre la divulgación de vulnerabilidades y la actualización de políticas de bloqueo en las organizaciones. “La automatización en la cadena de suministro de malware permite que los actores criminales adopten nuevas vulnerabilidades de drivers en cuestión de días”, señala Beltrán. Por su parte, Candau añade: “La coordinación entre fabricantes de software y equipos de respuesta es crucial para minimizar la ventana de exposición”.

#### Implicaciones para Empresas y Usuarios

Las empresas deben asumir que la gestión de drivers y el endurecimiento de los sistemas operativos forman parte crítica de una estrategia de defensa en profundidad. La falta de visibilidad sobre los drivers cargados, especialmente en entornos legacy o con dispositivos de terceros, incrementa la superficie de ataque. Además, la nueva Directiva NIS2 y el RGPD refuerzan la obligación de proteger los sistemas frente a ataques que puedan comprometer datos personales o servicios esenciales, por lo que el uso de BYOVD en ataques exitosos puede acarrear sanciones regulatorias adicionales.

#### Conclusiones

La rápida incorporación de controladores vulnerables por parte de grupos de ransomware como Reynolds subraya la urgencia de reforzar los controles técnicos y operativos en la gestión de drivers en Windows. La tendencia BYOVD seguirá en alza mientras persista la falta de mecanismos automáticos y efectivos para bloquear la carga de software de bajo nivel no autorizado. La colaboración entre fabricantes, CERTs y equipos de seguridad corporativos será clave para reducir el impacto de estas tácticas en el futuro inmediato.

(Fuente: www.darkreading.com)