Sure! Here’s a rewritten version of the content you provided:

En los últimos meses, varios grupos de ransomware han utilizado un servicio comercial de empaquetado denominado HeartCrypt para evadir las herramientas de detección y respuesta de endpoints (EDR). El equipo de investigación de
MagicSword ha estado monitoreando
esta actividad, basada en una investigación inicial de Sophos publicada en mayo de 2024, y los resultados son alarmantes:

Grupos como RansomHub, BlackSuit y MedusaLocker se benefician de una vulnerabilidad crítica en el sistema de validación de firmas de controladores de Windows. Lo más preocupante es que lo hacen mediante un servicio integral que requiere poca experiencia técnica.

En los ataques multietapa actuales, desactivar las soluciones de seguridad de endpoints es un paso vital, permitiendo a los actores maliciosos operar sin ser detectados. Desde 2022, se ha notado un incremento en la sofisticación del malware diseñado para
neutralizar los sistemas EDR en sistemas comprometidos.

Cómo opera HeartCrypt

HeartCrypt es un servicio de entrega de malware. Los operadores de ransomware simplemente pagan a HeartCrypt para:

  • Empaquetar su ransomware para evitar la detección por antivirus.
  • Incluir controladores que eliminan EDR y detienen los productos de seguridad antes del cifrado.
  • Firmar código malicioso con certificados robados que aún son confiables por Windows.
  • Proporcionar actualizaciones continuas a medida que los proveedores de seguridad se adaptan.

Esto no es una estrategia sofisticada de un estado nación; es un servicio comercial que ha hecho que la evasión de EDR sea accesible para grupos criminales de nivel medio.

Algunas herramientas son desarrolladas por grupos de ransomware, mientras que otras son adquiridas en mercados oscuros, como se evidenció en los registros de
chats filtrados del grupo Black Basta. Frecuentemente se emplean servicios de empaquetado como
Packer-as-a-Service como HeartCrypt para ofuscar estas herramientas.

EDRKillShifter
fue creado por el grupo RansomHub y luego reemplazado por una nueva herramienta, que se describe en la
publicación de Sophos, que detalla la evidencia del intercambio de herramientas y la transferencia de conocimientos técnicos entre diferentes grupos de ransomware.

AVKiller

Las herramientas de AVKiller están entre las muchas cargas útiles encontradas en las muestras empaquetadas de HeartCrypt. En varios incidentes, esta herramienta fue detectada durante ataques de ransomware activos. Otros investigadores, como
Cylerian, también han detectado evidencia de esta herramienta. Se halló evidencia de una versión temprana
detallada en una publicación de Palo Alto Networks de enero de 2024.

Al ejecutarse, la carga útil se decodifica a sí misma; en realidad, es un ejecutable altamente protegido. La alta protección del ejecutable representa una de las cinco características significativas que hemos identificado:

  • El código está fuertemente protegido.
  • Busca un controlador con un nombre aleatorio de cinco letras.
  • El controlador está firmado con un certificado comprometido.
  • Impacta a múltiples proveedores de seguridad.
  • Las distintas variantes utilizan diferentes firmas y certificados.
  • La lista de objetivos varía según la muestra.

¿Por qué sigue funcionando?

Windows presenta una falla de diseño en la validación de controladores. Si las comprobaciones de revocación de certificados fallan o exceden el tiempo de espera (algo que ocurre con frecuencia), Windows asume que el certificado es válido y carga el controlador de todos modos.

Resultado:
Un certificado revocado en 2016 se sigue utilizando para firmar malware en 2025, y Windows lo acepta como confiable.

Conexión con ransomware

La utilización de herramientas de HeartCrypt EDR killer ha sido observada en ataques de ransomware. Se han detectado varias familias de ransomware junto con esta herramienta.

En un ataque típico, observamos el intento de ejecución del dropper con HeartCrypt, que descargaba un ejecutable de eliminación de EDR altamente protegido, que a su vez cargaba un controlador firmado con una firma comprometida.

La misma secuencia de eventos (EDR Killer → ransomware) ha sido observada en las siguientes familias de ransomware:

  • Blacksuit
  • RansomHug
  • Medusa
  • Qilin
  • Dragonforce
  • Crytox
  • Lynx
  • INC
  • …lo cual representa una notable lista de grupos de actores de amenazas que compiten entre sí.

MedusaLocker es un caso particularmente interesante que se merece mención especial, ya que se cree que el actor de amenazas utilizó un RCE Zero-Day en la aplicación SimpleHelp para obtener acceso inicial.

Conclusiones

Quizás lo más preocupante de esta investigación sea la evidencia que sugiere un intercambio de herramientas y transferencia de conocimientos técnicos entre grupos de ransomware competidores (como Ransomhub, Qilin, DragonForce e INC). Aunque estos grupos compiten y tienen diferentes modelos de negocio y afiliaciones, parece existir un flujo de información y recursos entre ellos.

Para ser claros, no se trata de que una única versión del eliminador de EDR se haya filtrado entre los actores maliciosos. Cada ataque utilizó una versión diferente de la herramienta propietaria.

Además, todas las variantes se empaquetaron con el servicio de empaquetado HeartCrypt, basado en suscripción. Esto sugiere que puede haber algún grado de coordinación. Es posible que la información sobre la disponibilidad y eficacia de HeartCrypt se comunique entre canales diseñados para tal propósito, aunque podría ser pura coincidencia que varios grupos optaran por adquirir el mismo eliminador de EDR estándar.

Recientemente, investigadores de
ESET publicaron información sobre intercambios y filtraciones similares, sugiriendo que el ecosistema de ransomware es más complejo de lo que parece, planteando un nuevo desafío para los defensores.

Fuente:
MagicSword |
Sophos


Feel free to let me know if you need any additional modifications or details!

Con Información de blog.segu-info.com.ar