Los operadores de ransomware Crypto24 están llevando a cabo ataques coordinados en múltiples fases utilizando tanto herramientas legítimas como malware personalizado para acceder, desplazarse lateralmente y evadir la detección. Este grupo ha focalizado sus ataques en organizaciones de Asia, Europa, EE.UU. y América Latina, prestando especial atención a sectores como servicios financieros, manufactura, entretenimiento y tecnología.
La actividad inicial de este grupo se notificó en los foros de BleepingComputer en septiembre de 2024, aunque había reportes previos desde julio que no alcanzaron gran notoriedad.
Un análisis de TrendMicro destaca que este actor de amenazas opera con alta coordinación, lanzando ataques frecuentemente en horas de bajo tráfico para minimizar la detección y maximizar el impacto. Crypto24 ha dirigido sus ataques a entidades de gran relevancia dentro de corporaciones y organizaciones de alta envergadura. La magnitud y sofisticación de los ataques recientes sugieren un enfoque intencionado hacia organizaciones que manejan significativos activos operativos y financieros.
El ransomware implementa robustas medidas antiforenses, incluyendo rutinas de autoeliminación. Durante el cifrado, los archivos reciben la extensión .crypto24 y se despliega una nota de rescate llamada Decryption.txt, que aplica una estrategia de doble extorsión: combina el cifrado de datos con amenazas de exposición pública de información para aumentar la presión sobre los pagos.
Persistencia
La persistencia se garantiza mediante la creación de cuentas privilegiadas y tareas programadas que amalgaman actividades maliciosas con operaciones legítimas. Los atacantes emplean métodos avanzados de evasión como herramientas personalizadas diseñadas para eludir soluciones de EDR y manipulaciones específicas de software de seguridad.
El grupo mantiene su persistencia en sistemas comprometidos aprovechando tareas programadas y servicios de Windows, utilizando procesos legítimos como svchost.exe para integrarse en las operaciones normales y evadir detección.
El robo de datos y la vigilancia se realizan a través de keyloggers, exfiltración mediante Google Drive y acceso remoto sostenido.
Desplazarse lateralmente se lleva a cabo a través de comparticiones SMB, mientras que la exfiltración de datos se realiza mediante una herramienta propia que utiliza la API WinINET para transferir información a Google Drive. Antes de iniciar el cifrado, eliminan las Shadow Copies para impedir la recuperación de los sistemas.
El arsenal del grupo de ransomware es variado y sofisticado. Incluye PSExec para movimiento lateral, AnyDesk para acceso remoto persistente, keyloggers para recolección de credenciales, diversos malware de puerta trasera y Google Drive para la exfiltración discreta de datos.
Este grupo también utiliza técnicas avanzadas de evasión, como la implementación de una versión personalizada de RealBlindingEDR y el uso indebido de gpscript.exe, una herramienta legítima de directiva de grupo, para ejecutar remotamente desinstaladores de antivirus desde recursos compartidos de red.
Tácticas y técnicas de MITRE ATT&CK
| Táctica | Técnica | ID |
|---|---|---|
| Acceso inicial | Phishing con macros de Office o PDFs, abuso de portales remotos | T1566.001, T1133 |
| Ejecución | Servicios por lotes personalizados (WinMainSvc, MSRuntime), tareas programadas | — |
| Persistencia | Creación de cuentas, servicios de Windows | — |
| Evasión de defensas | Herramienta personalizada de evasión de EDR (RealBlindingEDR), uso de desinstaladores | — |
| Acceso a credenciales | Captura de teclas a través de WinMainSvc.dll | — |
| Descubrimiento y exfiltración | Utilidades personalizadas de reconocimiento, exfiltración mediante Google Drive | T1041 |
| Impacto | Cifrado con .crypto24, eliminación de copias de sombra | T1486 |
En los casos observados, los atacantes sólo pudieron utilizar esta herramienta tras obtener privilegios elevados (administrador) mediante la vulneración previa de los sistemas afectados. Esta herramienta requiere permisos administrativos y no puede ser utilizada como vector de infección inicial.
Lo observado representa un clásico ejemplo de tácticas de «Living-off-the-Land», donde los actores de amenazas utilizan herramientas administrativas legítimas para llevar a cabo sus ataques en escenarios posteriores a una vulneración. Utilizan incluso herramientas de mantenimiento para desactivar la protección de endpoints antes de moverse a otros dispositivos. Sin embargo, los sistemas con controles de seguridad bien configurados y gestión de acceso robusta, siguiendo el principio de mínimo privilegio, están protegidos contra estos ataques.
Cuentas locales válidas
Como parte de su rutina de ataque, el atacante reactivó cuentas administrativas predeterminadas y creó múltiples nuevas cuentas de usuario, con nombres genéricos para pasar desapercibidos. Estas cuentas fueron añadidas a grupos privilegiados, como Administradores, para mantener un acceso elevado persistente.
A través de comandos estándar de Windows como net.exe, el atacante creó y modificó cuentas, restableció contraseñas y reactivó perfiles previamente desactivados, proporcionando múltiples puntos de entrada a los sistemas comprometidos y dificultando la detección durante auditorías de seguridad rutinarias.
Descubrimiento de cuentas
Para cada cuenta creada, el atacante utilizó un archivo BAT para recopilar información del sistema, recuperar detalles sobre particiones del disco y consultar la información del sistema operativo mediante el comando WMIC como parte de sus esfuerzos de reconocimiento.
La información recopilada incluye nombres, tamaños y tipos de particiones para comprender la configuración del almacenamiento; memoria física total y título del sistema para evaluar capacidades de hardware; cuentas de usuario locales para mapear el acceso existente; y membresías de grupos locales para identificar niveles de privilegio y objetivos de alto valor para movimientos laterales. Estos datos permiten al atacante perfilar el sistema comprometido y planificar las etapas de ataque subsiguientes.
Se crea una clave de registro HKLM\SOFTWARE\Microsoft\MSRuntime para almacenar temporalmente los directorios descubiertos.
Tareas programadas
Los archivos por lotes y scripts localizados en %ProgramData%\Update\ se ejecutan a intervalos regulares, facilitando la instalación o ejecución oportuna de cargas maliciosas.
Servicios maliciosos
El atacante utiliza sc.exe (control de servicios) para crear, administrar y controlar servicios de Windows, estableciendo nuevos servicios para desplegar un keylogger y el ransomware Crypto24.
Después de identificar posibles cuentas de usuario, el atacante emplea otro archivo BAT para crear una cuenta adicional, que se asigna a grupos Administradores y Usuarios de Escritorio Remoto, otorgándole privilegios elevados y la capacidad de conexión remota.
Escalamiento de privilegios
Se hace uso de runas.exe y PSExec para ejecutar procesos con privilegios elevados.
Evasión de defensas
En el transcurso del ataque, el grupo de amenazas estableció cuentas administrativas de manera persistente, iniciando sesiones de protocolo de escritorio remoto (RDP) y utilizando las herramientas mencionadas para mantener el acceso.
Intensificaron sus operaciones mediante la implementación de una herramienta similar a RealBlindingEDR, diseñada para evadir los mecanismos de Detección y Respuesta de Endpoints (EDR). Se han detectado archivos asociados a esta herramienta en varios endpoints.
La herramienta está programada para eliminar productos identificados como pertenecientes a las siguientes empresas:
- Gen Digital
- Kaspersky
- AVG Technologies
- Sophos
- SurfRight
- Trend Micro
- Malwarebytes
- Bitdefender
- Avira
- Symantec
- Broadcom
- Total Security
- Trellix
- Sentinel
- RSUPPORT
- AhnLab
- Cynet
- Panda
- Cylance
- Open Text
- Sangfor Technologies
- Quick Heal
- CoSoSys
- Cisco Systems
- McAfee
- Fortinet
- Comodo Security Solutions
- Acronis
- Citrix
Movimiento lateral: Servicios remotos
Después del compromiso inicial del sistema y mediante la creación de una nueva cuenta de usuario, el atacante escala mediante PsExec y ejecuta comandos específicos para consolidar su presencia y permitir el acceso remoto no autorizado.
Recopilación de credenciales y captura de teclas
Tras lograr acceso remoto, el atacante intensificó su actividad a través de un keylogger (WinMainSvc.dll) en el host comprometido, configurado para capturar datos confidenciales como credenciales y garantizar su persistencia mediante una tarea programada.
Autoeliminación
El ransomware también utiliza un archivo BAT para eliminarse tras completar el cifrado.
Protección de Crypto24
El análisis revela que el ransomware está reforzado con la virtualización VMProtect, dificultando los esfuerzos de ingeniería inversa. También implementa medidas antiforenses amplias, como rutinas de autoeliminación y limpieza del registro, para borrar cualquier rastro de su actividad después de cifrar exitosamente los datos.
Un atacante con una herramienta anti-EDR personalizada como RealBlindingEDR que explote controladores vulnerables nuevos o desconocidos podría comprometer varios endpoints. Sin embargo, el éxito de tales ataques dependería de la robustez de los controles de seguridad en cada endpoint.
Recomendaciones
- Auditar y limitar periódicamente la creación y uso de cuentas privilegiadas; deshabilitar las cuentas administrativas predeterminadas no utilizadas.
- Restringir el uso de RDP y herramientas remotas (p. ej., PsExec, AnyDesk) a sistemas autorizados; activar la autenticación multifactor (MFA) y revisar regularmente configuraciones de firewall.
- Detectar e investigar usos inusuales de utilidades de Windows y herramientas de acceso remoto de terceros para identificar signos de movimiento lateral.
- Asegurar que EDR y otras soluciones de seguridad estén actualizadas y monitoreadas continuamente para detectar intentos de desinstalación o evasión.
- Inspeccionar periódicamente las tareas programadas y la creación de servicios para detectar actividad no autorizada o sospechosa.
- Supervisar cambios no autorizados en archivos clave del sistema y tráfico saliente inusual, como la exfiltración de datos a la nube.
- Realizar copias de seguridad sin conexión de manera periódica y verificar el funcionamiento correcto de los procesos de restauración.
- Asegurar que todos los sistemas, especialmente aquellos con acceso administrativo, tengan cobertura y supervisión adecuadas de los agentes de seguridad.
- Implementar un marco de confianza cero basado en el principio de «nunca confíe, siempre verifique».
- Capacitar a los usuarios sobre los riesgos de phishing y el manejo de credenciales, manteniendo una estrategia efectiva de respuesta a incidentes.
Conclusiones
A diferencia de otros grupos más convencionales, este actor de amenazas muestra un alto nivel de madurez operativa, combinando de manera efectiva herramientas legítimas (como PSExec y AnyDesk) con malware personalizado. Esto les permite integrarse en las operaciones normales de TI para ejecutar ataques precisos en horas de baja actividad. Este enfoque multifacético va más allá del simple cifrado, incluyendo keyloggers para la recolección de credenciales y Google Drive para la exfiltración de datos, generando un riesgo de exposición persistente después de la infección inicial.
Lo más relevante es que la implementación exitosa por parte de Crypto24 de una variante personalizada de RealBlindingEDR, una herramienta diseñada para desactivar soluciones de seguridad, evidencia su capacidad para eludir las defensas modernas. El uso avanzado de evasión, probablemente mediante controladores vulnerables desconocidos, demuestra una gran experiencia técnica y un continuo perfeccionamiento de herramientas. La capacidad del grupo para mantener la persistencia antes del cifrado denota una estrategia y planificación notables en el ámbito del ransomware comercial.
Más que una simple campaña de ransomware, los ataques de Crypto24 ilustran cómo los actores de amenazas han analizado soluciones de seguridad, identificado debilidades y desarrollado herramientas específicas para explotarlas. Las organizaciones que utilizan defensas similares deben considerarse en riesgo inmediato; comprender la metodología de Crypto24 es esencial para adaptar nuestras estrategias defensivas contra adversarios que han probado su efectividad en eludir defensas.
La compañía de ciberseguridad ha proporcionado al final del informe una lista de indicadores de compromiso (IoC) que puede usarse para detectar y prevenir los ataques del ransomware Crypto24 en sus etapas iniciales.
Fuente:
TrendMicro
Con Información de blog.segu-info.com.ar