La ciberseguridad enfrenta un nuevo desafío con el ransomware Embargo, una amenaza que combina un kit de herramientas malicioso desarrollado en Rust para atacar las soluciones de seguridad de las víctimas. Descubierto en junio de 2024 por ESET, Embargo utiliza métodos avanzados de ataque, incorporando técnicas como Bring Your Own Vulnerable Driver (BYOVD), y despliega sus herramientas MS4Killer y MDeployer. Estas herramientas apuntan específicamente a neutralizar las soluciones de protección de endpoints en dispositivos infectados, facilitando así el despliegue del ransomware.

Embargo, similar a otros actores de ransomware como servicio (RaaS), es notable por su capacidad para adaptar su ataque a cada entorno. Además, el grupo emplea un esquema de doble extorsión, lo que significa que no solo cifra los datos, sino que también amenaza con exponer información confidencial si la víctima no realiza el pago. Este artículo analiza en detalle el funcionamiento del ransomware Embargo y sus herramientas, además de ofrecer recomendaciones sobre cómo fortalecer la infraestructura de seguridad de una empresa frente a ataques de ransomware avanzados.

Análisis técnico de MDeployer y MS4Killer: Herramientas de desactivación de seguridad

MDeployer: Loader malicioso y despliegue del ransomware

MDeployer es una herramienta clave en la cadena de ataque de Embargo. Su propósito principal es cargar el payload del ransomware en la red comprometida. MDeployer descifra y ejecuta dos archivos críticos: MS4Killer y el propio ransomware Embargo. La herramienta emplea técnicas de evasión de defensa, como el modo seguro de Windows. En modo seguro, el sistema operativo ejecuta solo las funciones mínimas necesarias, lo que permite a MDeployer operar sin ser detectado por la mayoría de las soluciones de seguridad antimalware.

Funcionamiento de MDeployer

MDeployer realiza varias acciones para asegurar el despliegue del ransomware:

1. Descifrado y despliegue: Descifra el archivo b.cache, que contiene MS4Killer, y a.cache, que incluye el payload de Embargo.
2. Manipulación de archivos de control: Crea el archivo stop.exe para evitar duplicaciones de cifrado y un archivo de registro fail.txt para errores.
3. Modos de ejecución: Según el privilegio de administrador, MDeployer activa el modo seguro y reinicia el sistema de la víctima, desactivando las defensas de seguridad.

Para los atacantes, MDeployer actúa como un mecanismo de persistencia que aprovecha el modo seguro y técnicas de bypass de antivirus para ejecutar el ransomware sin detección. Fortalecer la infraestructura de seguridad se vuelve crucial para resistir este tipo de ataques, especialmente a nivel de dispositivos y redes.

MS4Killer: Evasión de defensas y desactivación de procesos de seguridad

MS4Killer, por otro lado, representa una herramienta especializada para desactivar activamente procesos de seguridad a través de la técnica BYOVD. Escrita también en Rust, MS4Killer está diseñada para desactivar controladores vulnerables. La herramienta realiza esto mediante un bucle de verificación continua para detectar procesos de antivirus o de seguridad y terminar su ejecución.

Los siguientes pasos muestran cómo MS4Killer permite al ransomware operar sin interrupciones:

1. Terminación de procesos de seguridad: Utiliza un controlador vulnerable, probmon.sys, para detener la ejecución de soluciones de seguridad.
2. Cifrado y ofuscación: La herramienta cifra el controlador y las claves de acceso, dificultando la detección y análisis forense.
3. Ejecución en múltiples hilos: MS4Killer emplea la biblioteca Rayon en Rust para ejecutar de manera paralela la búsqueda y terminación de procesos de seguridad en el dispositivo de la víctima.

La capacidad de MS4Killer de operar sin interrupción hace evidente la necesidad de implementar protecciones antimalware robustas y herramientas como SIEM (Sistemas de Gestión de Información de Seguridad) para la detección de amenazas.

Recomendaciones para Fortalecer la Seguridad ante Ransomware

1. Monitoreo Proactivo y EDR (Endpoint Detection and Response): Herramientas de detección de comportamiento, como soluciones de EDR, pueden identificar patrones inusuales en procesos y archivos. Los sistemas EDR son particularmente útiles para detectar actividades anómalas, como la manipulación del modo seguro que realiza MDeployer, o la terminación de procesos de seguridad que ejecuta MS4Killer.
2. Segmentación de Redes y Mínimo Privilegio: Limitar el acceso de los usuarios y dispositivos a los recursos esenciales reduce la exposición de la red a ataques. La segmentación también ayuda a mitigar la propagación del ransomware en caso de que un sistema sea comprometido.
3. Implementación de BYOD Seguro y Análisis de Controladores: Dado que MS4Killer utiliza controladores vulnerables (BYOVD) para desactivar antivirus, es crucial que las organizaciones analicen y controlen el uso de controladores en sus sistemas. Herramientas de validación de firmas digitales y control de integridad pueden ayudar a identificar controladores potencialmente peligrosos.
4. Parcheo Regular y Supervisión de Vulnerabilidades: Actualizar los sistemas y controladores para corregir vulnerabilidades conocidas dificulta que herramientas como MS4Killer aprovechen fallas en controladores. Los atacantes suelen buscar fallos en software desactualizado, por lo que mantener un calendario de parches es esencial.
5. Copias de Seguridad y Pruebas de Recuperación: La doble extorsión de Embargo evidencia la importancia de una estrategia de recuperación robusta. Las copias de seguridad deben realizarse de forma regular y almacenarse en ubicaciones aisladas, con pruebas periódicas para asegurar su viabilidad en caso de un ataque.

Conclusión

El aumento de ransomware y otros ataques cibernéticos sofisticados demuestra que las organizaciones necesitan soluciones de ciberseguridad efectivas y asequibles. Los ciberdelincuentes están utilizando técnicas avanzadas para eludir defensas comunes. Cibersafety ofrece una amplia gama de soluciones de seguridad que pueden implementar con una inversión mínima y un alto retorno en protección.

Desde monitoreo continuo con sistemas EDR hasta configuraciones de respaldo automatizadas y herramientas de prevención de intrusiones, nuestras soluciones están diseñadas para defenderse de amenazas actuales y futuras. Dentro de nuestro catálogo de servicios y soluciones de seguridad ofrecemos soluciones adaptadas a las necesidades de cada cliente.