Investigadores de seguridad han identificado un patrón preocupante en las campañas de ransomware más recientes: actores como los vinculados a Qilin y Warlock están recurriendo a la técnica conocida como bring your own vulnerable driver (BYOVD) para dejar en silencio las defensas de los equipos comprometidos. Los análisis de Cisco Talos y Trend Micro muestran que, lejos de ataques toscos, estos grupos combinan ingeniería de carga de librerías, control en memoria y el empleo de controladores legítimos pero vulnerables para alcanzar privilegios de kernel y desactivar soluciones de protección.
En el caso atribuido a Qilin, Talos detectó la presencia de una DLL maliciosa cargada por vía de DLL side‑loading con el nombre "msimg32.dll". Esa DLL actúa como un primer cargador que prepara el entorno para un segundo componente —un "EDR killer"— que viene cifrado en el propio cargador. La ejecución final se realiza íntegramente en memoria, evitando así dejar muchos de los artefactos clásicos que facilitan la detección. El cargador también neutraliza ganchos en espacio de usuario, suprime eventos de Event Tracing for Windows (ETW) y enmascara llamadas a APIs para que el proceso de desencriptado y carga pase casi desapercibido.
Una vez que el payload de destrucción de EDR está listo, los atacantes cargan dos drivers: uno renombrado como rwdrv.sys (una versión de ThrottleStop.sys) que sirve para acceder a la memoria física y operar a nivel de kernel, y otro llamado hlpdrv.sys cuyo propósito es terminar procesos y desactivar más de 300 controladores de EDR de numerosos proveedores. Esta combinación de técnicas les permite desactivar la mayor parte de la protección del host antes de ejecutar el ransomware. Talos ha documentado cómo, incluso antes de cargar el segundo driver, el componente destinado a matar los EDRs anula callbacks de monitorización para evitar interferencias durante las terminaciones de proceso.
La misma filosofía de aprovechar controladores con fallos se ha visto en operaciones asociadas a Warlock (también conocido como Water Manaul), que además explota servidores Microsoft SharePoint sin parchear y ha ido actualizando su kit de herramientas para persistencia, movimiento lateral y evasión. Para mantener acceso persistente y establecer canales de mando y control, los operadores han utilizado utilidades y soluciones legítimas: TightVNC para control remoto persistente, PsExec para desplazarse lateralmente, Velociraptor como herramienta de C2, Visual Studio Code y Cloudflare Tunnel para tunelizar comunicaciones, Yuze para penetración de intranet y proxy inverso, y Rclone para exfiltrar datos. En el frente de drivers, Warlock cambió a un driver vulnerable de NSec ("NSecKrnl.sys") en sus campañas más recientes, sustituyendo a otros controladores usados anteriormente.
Este enfoque no es nuevo en la teoría, pero su eficacia radica en la combinación de factores del mundo real: drivers firmados que contienen vulnerabilidades explotables, capacidades del atacante para cargar y renombrar binarios legítimos, y controles insuficientes en la gobernanza de drivers a nivel organizativo. BYOVD explota la delgada línea entre funcionalidad legítima del sistema y la capacidad de los atacantes para operar con privilegios de kernel, lo que dificulta mucho la detección y mitigación si no hay controles específicos.
Las métricas aportadas por firmas como CYFIRMA y Cynet muestran que Qilin ha sido especialmente activo, anotándose una proporción significativa de los incidentes reportados en ciertos territorios. Talos también señala que, en promedio, el cifrado con ransomware se produce aproximadamente seis días después de la brecha inicial, una ventana que los atacantes usan para moverse con calma, elevar privilegios y preparar la etapa destructiva. Ese margen subraya la importancia de detectar actividad anómala en las fases tempranas del compromiso y de contar con controles que impidan la carga de drivers potencialmente peligrosos.
¿Qué puede hacer una organización para reducir este riesgo? En primer lugar, imponer políticas estrictas sobre drivers: permitir únicamente controladores firmados por editores explícitamente confiables y auditar cualquier instalación de drivers. En entornos Windows conviene revisar y aplicar las recomendaciones sobre firma y políticas de kernel publicadas por Microsoft, así como monitorizar eventos relacionados con la instalación y carga de controladores para identificar intentos sospechosos. Otra línea de defensa es endurecer la gestión de parches: tanto el sistema operativo como las soluciones de seguridad con componentes a nivel de kernel deben mantenerse actualizados para evitar que un driver legítimo con vulnerabilidades se convierta en una herramienta de ataque.
Más allá de la higiene del software, es imprescindible elevar la visibilidad sobre el kernel y las actividades en memoria. Herramientas de monitorización que registren cambios en la integridad del kernel, la aparición de drivers no autorizados y el uso anómalo de APIs relacionadas con trazas o telemetría pueden detectar indicios de BYOVD antes de que el atacante consiga neutralizar las defensas. También conviene reducir la superficie de ataque mediante controles de acceso estrictos sobre cuentas con privilegios y mecanismos de detección temprana de movimientos laterales y exfiltración.
Los equipos de respuesta y los administradores deberían considerar que muchas de las herramientas mencionadas por los atacantes son software legítimo usado con fines maliciosos. Por ello, la mera presencia de utilidades como PsExec, TightVNC o Rclone no significa por sí sola una mala práctica, pero su uso inesperado dentro de un entorno productivo debe disparar alertas y análisis. La combinación de monitorización continua, gobernanza de drivers y un procedimiento de respuesta que incluya la posibilidad de aislar hosts rápidamente es la receta práctica para minimizar impacto.
Para profundizar en aspectos técnicos y en guías de mitigación se pueden consultar las investigaciones y recomendaciones públicas de los fabricantes y de agencias especializadas. Cisco Talos y Trend Micro han publicado análisis sobre estas campañas; además, Microsoft mantiene documentación técnica sobre Event Tracing for Windows y políticas de firma de controladores que resultan útiles para diseñar controles adecuados. Recursos adicionales como las páginas oficiales de proyectos y herramientas señaladas (Velociraptor, Rclone, TightVNC) ayudan a entender cómo los atacantes aprovechan utilidades legítimas en sus cadenas de ataque.
La lección clave es clara: los atacantes no siempre necesitan desarrollar exploits complejos desde cero cuando pueden traer consigo un driver vulnerable que funcione como palanca. Proteger el kernel y controlar qué software de bajo nivel puede ejecutarse en la infraestructura deben ser prioridades en cualquier estrategia moderna de defensa frente a ransomware. La combinación de gobernanza de drivers, detección en memoria y respuesta rápida ante actividad anómala es lo que, en la práctica, puede cerrar la ventana que los grupos como Qilin y Warlock están explotando.
Fuentes útiles para ampliar y aplicar estas recomendaciones: el blog técnico de Cisco Talos (blog.talosintelligence.com), el centro de investigación de Trend Micro (trendmicro.com/research), la documentación de Microsoft sobre Event Tracing for Windows (learn.microsoft.com — ETW) y sobre política de firma de controladores (learn.microsoft.com — Kernel‑mode code‑signing policy). Para conocer las herramientas mencionadas, puede consultarse la página de Velociraptor (velocidex.com/velociraptor), el proyecto Rclone (rclone.org) y la descarga oficial de PsExec en Sysinternals (learn.microsoft.com — PsExec).
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...