Hackers "dejaron ciegos" a los antivirus gracias a un controlador "jubilado"
Detectan nueva oleada de ataques contra Windows a través de VPN SSL
Los atacantes cada vez con más frecuencia inician sus ofensivas no con virus, sino mediante acceso remoto legítimo. Un nuevo incidente analizado por los especialistas de la empresa Huntress mostró una tendencia preocupante. Al entrar en la red a través del equipo SonicWall, los atacantes intentaron sucesivamente «cegar» casi todos los medios de protección conocidos y solo después de eso se prepararon para el siguiente paso.
El ataque ocurrió a principios de febrero de 2026. Los delincuentes utilizaron credenciales comprometidas para acceder a la red protegida mediante SSL VPN. Tras la autorización exitosa, comenzaron un reconocimiento activo dentro de la infraestructura. El sistema de detección de intrusiones registró comprobaciones masivas de nodos de la red, consultas de nombres y actividad sospechosa en el protocolo de archivos. Este es un comportamiento típico antes del despliegue de programas de cifrado de datos.
La característica principal del ataque fue una herramienta para desactivar las defensas. En lugar de explotar una vulnerabilidad en el antivirus, los atacantes emplearon un controlador antiguo pero legalmente firmado del paquete forense EnCase. Esta técnica es conocida como «uso de un controlador vulnerable» (Traiga su propio controlador vulnerable, BYOVD). En el sistema se carga un controlador genuino con firma digital, pero con capacidades peligrosas. A través de él se pueden terminar procesos directamente a nivel del núcleo, sorteando los mecanismos de autodefensa integrados.
El certificado de ese controlador caducó ya en 2010 y posteriormente fue revocado. Sin embargo, en la arquitectura de verificación de controladores de Windows existe una peculiaridad de larga data. El sistema comprueba la corrección de la firma y la cadena de confianza, pero no verifica el estado de revocación del certificado en la etapa temprana de carga. Eso es lo que aprovechan los atacantes. Además, se activa una regla de compatibilidad para controladores firmados antes de 2015, así como la marca de tiempo en la firma, que confirma que en el momento de la firma el certificado era válido.
El archivo ejecutable se hacía pasar por una utilidad de actualización de firmware. En su interior se ocultaba un controlador codificado de un modo inusual. Cada byte se sustituyó por una palabra inglesa distinta de un diccionario de 256 entradas. Como resultado, el contenido malicioso parecía texto normal y resultaba menos detectable para los analizadores estáticos. Tras descifrarlo, el archivo se guardaba en el directorio del sistema, recibía los atributos oculto y de sistema, y sus marcas temporales se copiaban de una biblioteca del sistema para no destacar durante las comprobaciones.
A continuación, el programa instalaba el controlador como un servicio del sistema con un nombre verosímil relacionado con el equipo. Tras cargarse, el controlador permitía terminar procesos mediante una orden especial. La lista de objetivos incluía 59 nombres de procesos de soluciones de seguridad populares. Entre ellos estaban el antivirus integrado de Microsoft, así como las soluciones CrowdStrike, SentinelOne, Sophos, Kaspersky, ESET, Bitdefender y otras. La comprobación se realizaba cada segundo, por lo que incluso los servicios reiniciados se desconectaban de inmediato otra vez.
El avance del ataque se vio impedido porque los eventos del equipo de red llegaban a un sistema centralizado de análisis de registros. Los especialistas correlacionaron la entrada a la VPN desde una dirección sospechosa, la actividad posterior dentro de la red y las señales del agente de protección. Los nodos infectados se aislaron antes de que los atacantes pudieran iniciar el cifrado de datos.
Los especialistas señalan que métodos similares aparecen cada vez más en ataques de ransomware. El uso de controladores firmados legalmente permite eludir muchos niveles de protección y obtener privilegios máximos en el sistema. Para reducir el riesgo se recomienda habilitar la autenticación multifactor para el acceso remoto, revisar los registros de acceso, activar el control de integridad de la memoria y aplicar las reglas de bloqueo de controladores vulnerables que distribuye Microsoft.