El grupo de ransomware Agenda (también conocido como Qilin) ha evolucionado su estrategia para utilizar un binario de ransomware diseñado para Linux en sistemas Windows. Esta táctica, detectada desde enero de 2025 y afecta a más de 591 víctimas globales, combina el abuso de herramientas legítimas de gestión remota (RMM) y la técnica BYOVD (Bring Your Own Vulnerable Driver, lo que habilita la evasión de la detección tradicional enfocada solo en Windows.
Cadena de Ataque Híbrido y Evasión Avanzada
La campaña se distingue por la mezcla sofisticada de Spear phishing, malware Linux en Windows y deshabilitación de defensas.
La secuencia del ataque
- Acceso Inicial (Phishing): El ataque comienza con phishing de “captcha falso” alojado en Cloudflare R2, donde la víctima ejecuta una carga útil de robo de credenciales bajo el pretexto de una verificación de usuario.
- Persistencia (RMM Legítimo): Una vez dentro, los atacantes instalan herramientas de gestión remota legítima (AnyDesk, ScreenConnect) a través de plataformas como ATERA Networks para mantener un acceso persistente y camuflado.
- Ataque al Backup: El actor realiza un paso crítico: robo de credenciales de sistemas de backup (como Veeam) mediante consultas SQL y scripts de PowerShell. El objetivo es obtener acceso a credenciales de dominio para impedir la recuperación de datos.
- Ejecución Híbrida (Malware Linux en Windows): Los atacantes utilizan WinSCP para transferir la variante Linux del ransomware (mmh_linux_x86-64) al sistema Windows y la ejecutan usando Splashtop Remote (SRManager.exe). Esto permite que el binario Linux se ejecute en el host Windows.
- BYOVD (Evasión): También emplea la táctica BYOVD, instalando controladores vulnerables conocidos (como eskle.sys) para deshabilitar defensas del sistema y evadir la detección de software de seguridad.
Implicaciones críticas
- Blindaje Roto: La ejecución de un ransomware basado en Linux en Windows confirma que la protección enfocada solo en el sistema operativo central es insuficiente. Los grupos de ransomware se adaptan a entornos híbridos.
- Actividad oculta: El uso de herramientas RMM legítimas para la persistencia camufla la actividad como parte de la operación normal de TI.
- Doble ataque: El robo de credenciales de respaldo antes del cifrado es una táctica que busca no solo cifrar los datos, sino anular la capacidad de recuperación de la víctima.
Recomendaciones
- Endurecer Herramientas de Acceso Remoto (RMM)
- Acceso restringido: Limitar el uso de RMM (AnyDesk, ScreenConnect) a hosts autorizados. Aplique MFA y configure alertas para accesos administrativos fuera de horario o desde ubicaciones inusuales.
- Auditoría: Verifique que las herramientas de gestión remota no estén instaladas en estaciones de trabajo que no las requieran.
- Proteger la Infraestructura de Backup
- Segmentación: Asegurar que los sistemas de backup (Veeam, etc.) estén segmentados y sean accesibles solo por cuentas con privilegios mínimos y MFA.
- Monitoreo de acceso: Monitorizar activamente los accesos a bases de datos de respaldo, scripts que extraigan usuarios/contraseñas y el uso de PowerShell con codificación Base64 en entornos de respaldo.
- Copias de seguridad aisladas: Asegurar que existen copias de seguridad fuera de línea (air-gapped) a los que el ransomware no pueda acceder.
- Detección Híbrida y BYOVD
- Visibilidad Híbrida: Configurar soluciones EDR y herramientas de caza para incluir visibilidad de binarios Linux en sistemas Windows y alertas por la transferencia de archivos con extensiones no habituales a través de herramientas como WinSCP.
- Detección de controladores: Configurar detección de controladores cargados que no estén firmados o que sean desconocidos (ej., eskle.sys, rwdrv.sys, hlpdrv.sys).
- Concientización Avanzada: Entrenar a los usuarios para detectar páginas de phishing que imitan “captcha” o verificación de usuario.
