El grupo de ransomware Crypto24 ha incrementado su nivel de sofisticación operativa mediante el uso de herramientas personalizadas para evadir soluciones de Endpoint Detection and Response (EDR), exfiltrar información y desplegar ransomware en redes corporativas comprometidas. Su capacidad para neutralizar productos de seguridad y mantener persistencia en entornos protegidos representa un riesgo significativo para las organizaciones.
Los atacantes aseguran la persistencia aprovechando cuentas administrativas predeterminadas en Windows o creando nuevas cuentas locales. Ejecutan scripts diseñados para recopilar información del sistema (usuarios, hardware, particiones) e instalan servicios y tareas maliciosas, entre ellos WinMainSvc (keylogger) y MSRuntime (cargador del ransomware).
Utilizan una variante modificada de RealBlindingEDR capaz de desactivar controladores de kernel de múltiples proveedores EDR, “cegando” sus motores de detección. En sistemas con privilegios administrativos, emplean herramientas legítimas, como XBCUninstaller.exe invocado mediante gpscript.exe, para desinstalar soluciones de seguridad como Trend Vision One y eliminar defensas críticas. El keylogger se disfraza como “Microsoft Help Manager” para registrar ventanas activas y pulsaciones de teclas, incluidas combinaciones especiales.
El movimiento lateral se realiza a través de comparticiones SMB, mientras que la exfiltración de datos se lleva a cabo mediante una herramienta propia que utiliza la API WinINET para transferir la información a Google Drive. Antes de iniciar el cifrado, eliminan las shadow copies de volumen para impedir la recuperación de los sistemas.
Trend Micro ha publicado un conjunto de indicadores de compromiso (IoCs) que pueden ser utilizados por otros equipos de defensa para detectar y frenar los ataques de Crypto24 en fases tempranas.
Productos afectados
De acuerdo con el análisis de Trend Micro, Crypto24 emplea una variante personalizada de RealBlindingEDR para desactivar controladores de kernel de múltiples soluciones EDR, incluyendo:
- Trend Micro
- Kaspersky
- Sophos
- SentinelOne
- Malwarebytes
- Cynet
- McAfee
- Bitdefender
- Broadcom (Symantec)
- Cisco
- Fortinet
- Acronis
Recomendaciones
- Implementar medidas de protección contra la manipulación de controladores EDR y fortalecer las políticas de integridad.
- Mantener copias de seguridad offline y verificar periódicamente su integridad.
- Supervisar la creación de servicios y tareas programadas inusuales.
- Bloquear conexiones no autorizadas hacia servicios de almacenamiento en la nube desde equipos críticos.
- Aplicar los IoCs publicados por Trend Micro para identificar actividad vinculada a Crypto24.
Referencias
- https://www.bleepingcomputer.com/news/security/crypto24-ransomware-hits-large-orgs-with-custom-edr-evasion-tool/
- https://www.trendmicro.com/content/dam/trendmicro/global/en/research/25/h/crypto24-ransomware/Crypto24-ransomware-ioc.txt
- https://www.trendmicro.com/en_us/research/25/h/crypto24-ransomware-stealth-attacks.html
- https://www.trendmicro.com/en_us/research/25/h/crypto24-ransomware-stealth-attacks.html