Cibercriminales de Qilin y Warlock despliegan ataques BYOVD para desactivar defensas en sistemas comprometidos

Introducción

El ecosistema de amenazas relacionado con ransomware sigue evolucionando en sofisticación y técnicas, con una tendencia cada vez mayor a la evasión de controles de seguridad avanzados. Recientemente, equipos de investigación de Cisco Talos y Trend Micro han documentado campañas activas de los grupos Qilin y Warlock, dos operadores de ransomware altamente activos, haciendo uso de la técnica BYOVD (Bring Your Own Vulnerable Driver) para desactivar soluciones de protección en endpoints comprometidos. El análisis revela el despliegue de DLLs maliciosas como “msimg32.dll” que permiten eludir múltiples capas de seguridad y allanar el camino para el cifrado de archivos y la exfiltración de datos.

Contexto del Incidente o Vulnerabilidad

El uso de BYOVD no es una novedad en el panorama de amenazas, pero su adopción por parte de actores de ransomware marca una escalada preocupante. Qilin y Warlock, ambos con un historial de ataques a empresas de sectores críticos en Europa y América, han incorporado esta táctica para mejorar la persistencia y aumentar la efectividad de sus campañas. Según los informes de Cisco Talos y Trend Micro, los ataques analizados en el primer semestre de 2024 muestran una automatización notable en el uso de controladores vulnerables, permitiendo la manipulación directa a nivel de kernel y la neutralización de EDRs (Endpoint Detection and Response) y antivirus de última generación.

Detalles Técnicos

Las investigaciones detallan cómo los operadores de Qilin y Warlock integran la técnica BYOVD en la cadena de ataque. El vector inicial suele ser el phishing con adjuntos maliciosos o la explotación de credenciales RDP expuestas. Una vez dentro, los atacantes despliegan un driver firmado, pero vulnerable, comúnmente extraído de versiones antiguas de software legítimo (por ejemplo, drivers gráficos desactualizados).

En el caso de Qilin, se ha identificado el uso de una DLL maliciosa denominada “msimg32.dll”. Esta DLL, alojada en el directorio de la aplicación o inyectada en la memoria, interactúa con el driver vulnerable para elevar privilegios y deshabilitar soluciones de seguridad. El flujo típico consiste en:

– Carga del driver vulnerable (por ejemplo, CVE-2019-16098, ampliamente explotado en campañas BYOVD).
– Llamadas directas a funciones de kernel para desactivar procesos y servicios de seguridad (EDR, AV, firewalls).
– Uso de TTPs alineadas con MITRE ATT&CK, especialmente T1562 (Impair Defenses) y T1068 (Exploitation for Privilege Escalation).
– Persistencia mediante la modificación de claves de registro y plantación de DLLs bajo nombres legítimos para evadir la detección por firmas.

Indicadores de compromiso (IoC) asociados incluyen hashes de la DLL maliciosa, rutas de archivos inusuales y firmas de comunicación con infraestructuras C2 basadas en HTTP/HTTPS cifrado.

Impacto y Riesgos

El impacto de estos ataques es significativo: desactivar las defensas del endpoint abre la puerta al cifrado masivo de archivos, robo de credenciales y movimientos laterales sin obstáculos. Según Trend Micro, hasta un 42% de los incidentes de ransomware en Q2 2024 han evidenciado el uso de técnicas BYOVD, incrementando la tasa de éxito de los atacantes y dificultando la recuperación. Sectores como sanidad, manufactura y administración pública son especialmente vulnerables por la presencia de sistemas legacy y políticas de actualización laxas.

A nivel de cumplimiento, incidentes de este tipo pueden derivar en sanciones graves bajo el RGPD (Reglamento General de Protección de Datos) europeo y la directiva NIS2, que exige la adopción de medidas técnicas y organizativas para la protección frente a amenazas conocidas.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de ataques BYOVD, los expertos recomiendan:

– Inventario y bloqueo de drivers no actualizados mediante políticas de Device Guard y AppLocker.
– Monitorización proactiva de cargas y ejecuciones de drivers en endpoints.
– Aplicación de parches y actualizaciones de software y controladores.
– Restricción de privilegios administrativos y segmentación de red.
– Implementación de soluciones EDR capaces de detectar comportamientos anómalos a nivel de kernel.
– Vigilancia de IoCs emergentes y actualización continua de reglas de detección.
– Formación continuada al personal técnico y de seguridad en técnicas de evasión actuales.

Opinión de Expertos

Andrés Navas, analista de amenazas en S21sec, subraya: “La proliferación de ataques BYOVD obliga a las organizaciones a repensar su modelo de defensa. Ya no basta con soluciones tradicionales; el enfoque debe ser holístico y predictivo, anticipando vectores de ataque emergentes”.

Por su parte, Marta Iglesias, CISO en una multinacional del sector energético, advierte: “La gestión de controladores y la visibilidad sobre los procesos del sistema son ahora críticos. La colaboración entre equipos de IT y seguridad es más importante que nunca”.

Implicaciones para Empresas y Usuarios

El avance de técnicas como BYOVD supone un reto inmediato para CISOs, analistas SOC y administradores de sistemas, quienes deben evolucionar sus estrategias de defensa. Las empresas deben invertir en soluciones de monitorización avanzada, reforzar la gestión de vulnerabilidades y revisar sus políticas de seguridad para evitar la exposición a ataques altamente automatizados y dirigidos. Los usuarios, a su vez, deben extremar la precaución con correos sospechosos y mantener sus dispositivos actualizados.

Conclusiones

La adopción de la técnica BYOVD por parte de operadores como Qilin y Warlock intensifica la amenaza del ransomware y obliga a elevar el nivel de defensa en todos los frentes. La combinación de drivers vulnerables y DLLs maliciosas capaces de desactivar herramientas de seguridad exige una respuesta rápida, coordinada y técnicamente avanzada. Mantener la visibilidad, actualizar los sistemas y fortalecer la cultura de ciberseguridad son claves para minimizar el impacto de este tipo de ataques.

(Fuente: feeds.feedburner.com)