Cybercriminals explotan el driver AbyssWorker para desactivar EDR y desplegar ransomware MEDUSA
Un nuevo ataque cibernético ha sido identificado, donde los actores de amenazas están utilizando el driver malicioso AbyssWorker para evadir sistemas de detección y respuesta de endpoints (EDR) y desplegar el ransomware MEDUSA. Este método aprovecha certificados revocados para mantener un perfil bajo y evitar ser detectado por soluciones de seguridad tradicionales.
Mecanismo del ataque: AbyssWorker como vector inicial
El driver AbyssWorker, también conocido como POORTRY, es utilizado para deshabilitar componentes críticos de los EDR mediante técnicas de ofuscación y elevación de privilegios. Su funcionamiento incluye:
- Inyección de código en procesos legítimos del sistema.
- Uso de firmas digitales robadas o revocadas para evitar sospechas.
- Desactivación de hooks de kernel utilizados por soluciones EDR para monitorear actividades maliciosas.
Una vez que el EDR es neutralizado, los atacantes despliegan el ransomware MEDUSA, que cifra archivos y exige un rescate en criptomonedas. Este ransomware se caracteriza por:
- Emplear cifrado AES-256 para bloquear datos sensibles.
- Eliminar copias de sombra de Windows (Volume Shadow Copies) para impedir la recuperación sin pago.
- Utilizar comunicación cifrada con servidores C2 (Command and Control) para recibir instrucciones.
Certificados revocados: una táctica de evasión
Los atacantes están utilizando certificados digitales revocados pero aún válidos técnicamente para firmar el driver malicioso. Esto permite que el software malicioso parezca legítimo durante la instalación, ya que muchos sistemas no verifican el estado de revocación en tiempo real. Esta técnica dificulta la detección basada en firmas.
Implicaciones para la seguridad corporativa
Este tipo de ataque representa un riesgo significativo para organizaciones que dependen exclusivamente de EDR sin estrategias de defensa en profundidad. Las recomendaciones clave incluyen:
- Implementar soluciones de monitoreo de comportamiento (XDR) para detectar anomalías.
- Actualizar políticas de verificación de certificados para incluir listas de revocación (CRL/OCSP).
- Aplicar parches de seguridad y segmentar redes para limitar el movimiento lateral.
Para más detalles sobre este ataque, consulta la Fuente original.
Conclusión
La explotación de drivers como AbyssWorker y el uso de ransomware MEDUSA demuestran la sofisticación creciente de los cibercriminales. Las organizaciones deben adoptar enfoques proactivos, combinando tecnologías avanzadas de detección con prácticas robustas de hardening de sistemas para mitigar estos riesgos.
