El modo seguro es un modo de diagnóstico para el sistema operativo. Esto se utiliza principalmente para solucionar problemas cargando sólo “controladores” y “servicios” esenciales.
En modo seguro, el sistema funciona con una funcionalidad mínima, lo que facilita “aislar la causa raíz” de los problemas de “inestabilidad” o “rendimiento” del sistema.
Los investigadores de ESET identificaron recientemente que los atacantes del ransomware Embargo están abusando activamente del modo seguro para desactivar las soluciones de seguridad.
Los atacantes de ransomware aprovechan el modo seguro para prohibir transacciones
El ransomware Embargo se detectó por primera vez en junio de 2024 utilizando dos herramientas especializadas programadas en Rust.
Seminario web gratuito sobre cómo proteger su sitio web y sus API contra ciberataques -> Únase aquí
A continuación se describen dos herramientas especializadas programadas en Rust.
MDeployer (cargador malicioso) MS4Killer (detección de endpoints y eliminación de respuestas)
Este grupo “RaaS” se dirige específicamente a “empresas estadounidenses” principalmente mediante el uso de “herramientas compiladas a medida” adaptadas al entorno de cada víctima.
Ejecutando MDeployer (Fuente: WeLiveSecurity)
La secuencia de ataque generalmente involucra a un atacante llamado “Perf_sys'' que descifra dos archivos de caché cifrados (“a.cache'' y “b.cache'') usando una “clave de cifrado RC4''. MDeployer' que se implementa a través de 'Tarea programada'.
Flujo de ejecución de MDeployer (Fuente – WeLiveSecurity)
MDeployer luego carga MS4Killer y explota un controlador firmado vulnerable ('probmon.sys' v3.0.0.4) a través de una técnica llamada 'BYOVD' para desactivar las soluciones de seguridad, dijo ESET.
Una vez que MS4Killer compromete con éxito un sistema, MDeployer implementa una carga útil de ransomware Embargo que cifra archivos con extensiones hexadecimales aleatorias de 6 caracteres (como .b58eeb) y suelta una “nota de rescate” titulada “HOW_TO_RECOVER_FILES”. .txt” en cada directorio cifrado y un “mutex” (objeto de sincronización del sistema) llamado “IntoTheFloodAgainSameOldTrip”.
Nota de rescate por embargo (Fuente: WeLiveSecurity)
Este grupo emplea una doble estrategia de extorsión. Además, amenaza con publicar datos robados en sitios filtrados y proporciona infraestructura y opciones de comunicación a través del “protocolo Tox”.
Esto es indicativo de una operación técnicamente avanzada y con buenos recursos que surgió después de las interrupciones en otros grupos importantes de ransomware como 'BlackCat' y 'LockBit'.
Además de esto, 'MS4Killer' implementa una estrategia de cifrado avanzada utilizando la técnica de 'criptografía XOR' para ocultar tres componentes importantes dentro del código binario.
Los tres componentes importantes son la cadena de mensajes de registro, la clave de cifrado RC4 (específicamente 'FGFOUDa87c21Vg+cxrr71boU6EG+QC1mwViTciNaTUBuW4gQbcKboN9THK4K35sL') y la lista de nombres de procesos de destino.
En el lanzamiento, aprovecha la función API de Windows “OpenProcessToken” para operaciones de proceso e incluye una función de descifrado personalizada para revelar estas cadenas ocultas.
Esta herramienta implementa un controlador vulnerable llamado 'probmon.sys' en dos ubicaciones específicas: 'C:\Windows\System32\drivers\Sysprox.sys' o 'C:\Windows\Sysmon64.sys'. Estas ubicaciones se administran a través de tres canales. : Alias de servicio: –
Este controlador se almacena inicialmente como un “BLOB cifrado RC4” y se protege aún más mediante un “cifrado XOR”.
La funcionalidad principal de este malware incluye monitorear y finalizar continuamente los procesos de software de seguridad mediante el uso de 'SeLoadDriverPrivilege' para la administración de controladores y la API 'CreateServiceW' para la creación de servicios.
Sin embargo, esto se hace mientras se sigue trabajando en un “cambio estratégico de registro” en la ruta “HKLM\SYSTEM\ControlSet001\services”.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Mírelo aquí
