El ransomware Medusa ha sido detectado utilizando el controlador malicioso ABYSSWORKER en ataques del tipo BYOVD para desactivar herramientas de seguridad. Elastic Security Labs identificó que el cifrador fue entregado mediante un cargador empaquetado con HeartCrypt, acompañado de un controlador firmado con un certificado revocado de un proveedor chino.
ABYSSWORKER, identificado en VirusTotal desde agosto de 2024, imita un controlador legítimo de CrowdStrike Falcon y está firmado con certificados robados. Su capacidad para evadir sistemas de seguridad y desactivar soluciones EDR ha sido documentada previamente. Al ejecutarse, añade procesos a una lista protegida y procesa solicitudes de control de I/O, permitiendo manipulación de archivos, terminación de procesos y desactivación de sistemas de defensa.
EL ATAQUE
Los atacantes pueden explotar el código de control de I/O 0x222400 para desactivar productos de seguridad eliminando devoluciones de llamada de notificación, una técnica utilizada en herramientas como EDRSandBlast y RealBlindingEDR. Venak Security reportó el abuso de un controlador vulnerable de ZoneAlarm en ataques BYOVD para obtener privilegios elevados y desactivar medidas de seguridad en Windows. Además, se detectó que RansomHub emplea el backdoor Betruger, con funciones avanzadas como keylogging, captura de pantalla, escalamiento de privilegios y exfiltración de datos, lo que indica una evolución en las tácticas de ransomware.
https://thehackernews.com/2025/03/medusa-ransomware-uses-malicious-driver.html
