6 de abril de 2026

Ransomware Qilin y Warlock usan drivers vulnerables para desactivar herramientas de seguridad

Ransomware Qilin y Warlock usan drivers vulnerables para desactivar herramientas de seguridad

Los grupos de ransomware Qilin y Warlock están utilizando una técnica llamada BYOVD ("Bring Your Own Vulnerable Driver" o "Trae tu propio driver vulnerable") para desactivar las herramientas de seguridad (EDR) que protegen los equipos de sus víctimas. Esto significa que usan drivers (controladores) vulnerables para evadir la detección y el bloqueo de sus ataques. Cisco Talos y Trend Micro han descubierto esta estrategia.

Cómo funciona el ataque

Los atacantes usan un archivo DLL malicioso llamado "msimg32.dll" que se carga en la memoria del sistema a través de una técnica llamada "DLL side-loading". Este archivo es el encargado de deshabilitar las soluciones EDR (Endpoint Detection and Response), que son programas diseñados para detectar y responder a amenazas en los dispositivos.

  • El DLL utiliza técnicas para evitar ser detectado, como ocultar su actividad y borrar registros importantes del sistema.
  • Una vez que se ejecuta, el malware utiliza dos drivers específicos: rwdrv.sys (una versión renombrada de "ThrottleStop.sys") para acceder a la memoria física del sistema, y hlpdrv.sys para terminar procesos asociados con más de 300 drivers EDR diferentes.
  • Estos drivers ya habían sido utilizados en ataques con ransomware Akira y Makop.

A quién afecta

Esta técnica afecta principalmente a empresas y organizaciones que utilizan herramientas EDR para proteger sus sistemas. Qilin, en particular, ha sido identificado como el grupo de ransomware más activo en los últimos meses, afectando a cientos de víctimas. En Japón, se le vincula con el 16.4% de los incidentes de ransomware reportados en 2025.

Por otro lado, Warlock también está explotando vulnerabilidades en servidores Microsoft SharePoint sin parches, y actualizando sus herramientas para mejorar su persistencia, movimiento lateral y evasión de defensas.

Cómo protegerse

Para defenderse de este tipo de ataques BYOVD, se recomienda:

  • Permitir solo la instalación de drivers firmados por editores de confianza.
  • Monitorear los eventos de instalación de drivers.
  • Mantener actualizado el software de seguridad, especialmente aquellos con componentes basados en drivers.

Qué significa esto para ti

Este tipo de ataques demuestran que los grupos de ransomware están evolucionando y utilizando técnicas cada vez más sofisticadas para evadir la seguridad. Para las empresas, esto significa que necesitan implementar una defensa en capas que incluya la protección del kernel (el núcleo del sistema operativo) y la monitorización en tiempo real de la actividad del sistema. Es importante actualizar los sistemas operativos y el software de seguridad, y educar a los empleados sobre las últimas amenazas y cómo detectarlas.

Fuente: https://thehackernews.com/2026/04/qilin-and-warlock-ransomware-use.html
Siguiente → Identifican a los líderes del ransomware...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Identifican a los líderes del ransomware REvil detrás de 130 ataques en Alemania
Hackeo de $285 millones a Drift fue una operación de ingeniería social norcoreana de 6 meses
Detectan 36 paquetes maliciosos en npm que roban credenciales y abren puertas traseras
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

CiberRadar
← Volver al inicio