Los “Initial Access Brokers” (IAB) —esos criminales que se dedican a hackear empresas para luego vender el acceso a bandas de ransomware— han perfeccionado una técnica que deja helados a los defensores: abusar de las soluciones de detección y respuesta (EDR) para realizar sus ataques.
Los atacantes están utilizando una técnica conocida como BYOVD (Bring Your Own Vulnerable Driver), pero con un giro perverso.
¿En qué consiste el ataque?
Normalmente, el malware intenta esconderse del antivirus. En esta nueva táctica, los atacantes traen consigo un componente legítimo de un software de seguridad (EDR).
- La Infección: El atacante logra acceso inicial al sistema.
- El Camuflaje: Instalan un driver (controlador) antiguo y vulnerable de una marca de seguridad reconocida y confiable.
- El Abuso: Como Windows confía en ese driver porque tiene una firma digital válida, le permite operar en el nivel más profundo del sistema (el Kernel).
- El Ataque: Los hackers usan ese driver “bueno” para ejecutar comandos maliciosos o, lo que es peor, para “matar” y desactivar el software de seguridad real que la víctima tiene instalado.
Al usar una herramienta de seguridad para atacar, logran que sus acciones pasen desapercibidas bajo el radar, ya que el sistema operativo asume que es una operación de mantenimiento legítima.
El problema de la “Lista Blanca”
Este ataque explota la confianza inherente de Windows. Si un archivo está firmado por una empresa de seguridad reputada, Windows tiende a dejarlo pasar. Los atacantes lo saben y buscan versiones antiguas de estos softwares (de hace 2 o 3 años) que tenían fallos conocidos, y los reutilizan como armas. Es como si un ladrón entrara a un banco usando la llave antigua y olvidada del guardia de seguridad.
¿Qué es un IAB y por qué importa?
Es importante que tus lectores entiendan el rol del IAB (Initial Access Broker). Ellos son los “cerrajeros” del cibercrimen. No suelen ser los que piden el rescate millonario; ellos hacen el trabajo sucio y silencioso de entrar, asegurar la puerta y desactivar las alarmas (usando esta técnica de EDR) para luego venderle la entrada limpia a grupos de ransomware como LockBit o BlackCat.
Recomendaciones
- Reglas de Bloqueo de Drivers: Microsoft ofrece una lista de bloqueo de conductores vulnerables (Microsoft Vulnerable Driver Blocklist). Esta función debe estar activada en Windows Defender o en tu solución de seguridad corporativa para impedir que se carguen drivers antiguos y peligrosos.
- Monitoreo de Eventos: Los equipos de seguridad (SOC) deben vigilar la instalación repentina de servicios o drivers de seguridad que no son los estándares de la empresa. Si tu empresa usa “CrowdStrike” y de repente aparece un driver antiguo de “Avast” o “Kaspersky” ejecutándose en un servidor, es una alerta crítica de intrusión.
