Investigadores de seguridad han detallado el funcionamiento de VEN0m, una nueva y sigilosa cepa de ransomware desarrollada en Rust. La particularidad crítica de este malware es su capacidad para eludir y neutralizar las soluciones de seguridad modernas, incluido Windows Defender en Windows 11 (versión 24H2). Esto se logra mediante el uso avanzado de una técnica conocida como Bring Your Own Vulnerable Driver (BYOVD), la cual permite al atacante destruir las defensas del sistema a nivel de kernel mucho antes de ejecutar el cifrado de datos.
Anatomía del Ataque
La cadena de infección de VEN0m destaca por su enfoque agresivo y estructurado contra los propios motores de seguridad, utilizando software legítimo de terceros para conseguir sus objetivos:
- Carga del Controlador Vulnerable (BYOVD): El ransomware introduce en el sistema de la víctima el controlador firmado IMFForceDelete.sys (un componente legítimo perteneciente al software IObit Malware Fighter v12.1.0).
- Explotación a Nivel de Kernel (CVE-2025-26125): Este driver en particular contiene una vulnerabilidad conocida que expone una función IOCTL que permite la eliminación arbitraria de archivos con privilegios de kernel. Durante la campaña inicial, este controlador aún no figuraba en las listas de bloqueo por defecto de Microsoft.
- Destrucción del AV/EDR: Utilizando el acceso otorgado por el IOCTL vulnerable, VEN0m corrompe y elimina los archivos, servicios y procesos asociados al Antivirus o al EDR instalado. Al hacer esto directamente desde el kernel, ignora las protecciones anti-manipulación (Tamper Protection) estándar.
- Evasión de UAC (Control de Cuentas de Usuario): Para asegurar la ejecución fluida del resto del ataque, se realiza un DLL Hijacking que abusa del proceso legítimo de auto-elevación del sistema Slui.exe, logrando el bypass de la ventana de confirmación del UAC.
- Despliegue del Cifrado: Con el sistema completamente ciego e indefenso, la carga útil escrita en Rust encripta los datos utilizando una clave de 32 bytes incrustada en el código (hardcoded). Los archivos comprometidos son renombrados bajo la extensión .vnm.
Impacto
La técnica BYOVD demuestra que confiar exclusivamente en las configuraciones por defecto de herramientas como Windows Defender es insuficiente frente a amenazas modernas. Al destruir los agentes de seguridad desde el “Anillo 0” (Kernel), el atacante obtiene control absoluto de la máquina. El impacto directo de una infección por VEN0m es el secuestro total de la información corporativa sin disparar las alertas de comportamiento tradicionales en las herramientas de monitoreo.
Recomendaciones y Mitigación Inmediata
Para defenderse contra ataques que operan a nivel de núcleo, las organizaciones deben fortalecer sus políticas de carga y ejecución de controladores:
- Bloqueo de Controladores Vulnerables (WDAC): Es indispensable activar el Control de Aplicaciones de Windows Defender (WDAC) y asegurarse de que la “Lista de bloqueo de controladores vulnerables de Microsoft” esté habilitada y forzada (enforced). Esto evitará que el sistema operativo cargue el archivo IMFForceDelete.sys y otros controladores firmados pero explotables.
- Protección de Integridad (HVCI): Mantener habilitada la Integridad de Memoria / Integridad de Código Protegida por Hipervisor (HVCI) para prevenir la inyección de código no autorizado en los procesos de alta prioridad.
- Monitorización de Eventos del Sistema: Configurar los sistemas SIEM para generar alertas de prioridad crítica ante la creación de nuevos servicios de sistema o la instalación de drivers no reconocidos (por ejemplo, monitoreando el Event ID 7045 en el registro de Windows).
- Mitigación de DLL Hijacking: Emplear reglas de Reducción de la Superficie de Ataque (ASR) para bloquear comportamientos anómalos en procesos clave del sistema operativo como Slui.exe, cortando así la vía de escalada de privilegios del ransomware.
