Investigadores revelan que el grupo de ransomware Interlock ha desarrollado una “herramienta asesina” que abusa de una vulnerabilidad no parcheada (0-day) en un controlador de videojuegos legítimo para obtener privilegios de Kernel y cegar las defensas.
Los drivers anti-trampas (anti-cheat) de los videojuegos modernos tienen un poder inmenso: acceso al núcleo (Kernel) del sistema operativo para detectar trucos. Hoy 4 de febrero de 2026, que el grupo Interlock Ransomware ha convertido esta característica en un arma letal.
A diferencia de la técnica clásica BYOVD (Bring Your Own Vulnerable Driver) que usa drivers antiguos y conocidos, Interlock está explotando una vulnerabilidad de zero-day en un controlador anti-cheat actual y firmado. Esto significa que Windows confía plenamente en el archivo, permitiéndole entrar hasta la cocina del sistema operativo sin levantar sospechas.
La “Herramienta Asesina” de EDRs
El ataque es quirúrgico y demuestra que Interlock no es un simple afiliado de RaaS, sino un grupo de desarrolladores sofisticados.
- Infección Inicial: El ataque comienza con MintLoader, un cargador furtivo que descarga la siguiente etapa.
- Persistencia: Despliegan NodeSnakeRAT, un troyano basado en JavaScript que mantiene el acceso.
- El Golpe Maestro (0-Day): Aquí entra la nueva herramienta.
- Carga el driver anti-cheat legítimo en el sistema.
- Explota el fallo 0-day desconocido para elevar sus privilegios a Nivel de Kernel (Ring 0).
- Desde esta posición de poder absoluto, la herramienta busca los procesos de las soluciones de seguridad (EDR, Antivirus, herramientas de monitoreo) y los “mata” instantáneamente. Al estar en modo Kernel, el antivirus no puede defenderse ni reiniciarse.
- Encriptación: Con la seguridad desactivada (“cegada”), el ransomware cifra los archivos de la víctima sin oposición.
Interlock: Un Grupo “Artesanal”
El reporte destaca que Interlock opera de manera distinta a los gigantes como LockBit.
- No son RaaS: No alquilan su malware. Son un equipo cerrado que desarrolla y opera sus propias herramientas.
- Evolución Constante: Han pasado de usar actualizaciones falsas de navegador a explotar fallos de Kernel en tiempo real.
- Doble Extorsión: Además de cifrar, utilizan herramientas personalizadas como move.dll para exfiltrar datos sensibles antes del ataque final.
¿Por qué Drivers de Videojuegos?
Los drivers anti-cheat (como los usados en juegos competitivos online) necesitan privilegios máximos para evitar que los jugadores usen “hacks”. Si un atacante encuentra un fallo en este código privilegiado, hereda ese poder. Al ser drivers firmados digitalmente por empresas de software legítimas (Microsoft, empresas de juegos), las políticas de seguridad de Windows los dejan pasar por defecto.
Recomendaciónes
- Blocklist de Drivers: Microsoft mantiene una lista de drivers vulnerables recomendada (Microsoft Vulnerable Driver Blocklist). Asegúrate de que tu política de seguridad la tenga activada y actualizada.
- Monitoreo de Cargas de Drivers: Configura tu SIEM para alertar cada vez que un servidor de producción cargue un driver nuevo o desconocido, especialmente si no tiene relación con el software empresarial (un servidor SQL no debería cargar drivers de videojuegos).
- Protección contra Tampering: Asegúrate de que tu EDR tenga habilitada la protección contra manipulación (Tamper Protection) al nivel más alto, aunque frente a un ataque de Kernel, la prevención de la carga del driver es la única defensa real.
