Se vio a los operadores de ransomware conocidos como BlackCat o ALPHV usando una versión actualizada de un malware conocido, que les permite elevar los privilegios en los puntos finales de destino y terminar cualquier antivirus o solución de seguridad de punto final que la computadora pueda tener en ejecución.
La noticia es cortesía de los investigadores de Trend Micro, quienes detectaron el malware actualizado.
Según los investigadores, el malware se conoce como «POORTRY». Se descubrió por primera vez a fines del año pasado, cuando investigadores de Microsoft, Mandiant, Sophos y SentinelOne vieron que POORTRY se usaba para deshabilitar programas antivirus, en preparación para la implementación de ransomware. En aquel entonces, se descubrió que POORTRY era un controlador del kernel de Windows, firmado con claves robadas de cuentas auténticas del Programa de desarrollo de hardware de Microsoft Windows.
Atacar a decenas de empresas
Sin embargo, como las claves de firma de código se revocaron pronto, y con el malware recibiendo mucha cobertura de prensa, la mayoría de los programas antivirus comenzaron a detectarlo, lo que llevó a los atacantes a buscar una actualización. Ahora, esta nueva versión está firmada con un certificado de firma cruzada robado o filtrado, dicen los investigadores.
El objetivo sigue siendo el mismo: elevar los privilegios en el punto final de destino y finalizar cualquier proceso relacionado con los programas y sistemas antivirus o de ciberseguridad.
Además de usarse para finalizar cualquier proceso del sistema, el controlador también se puede usar para eliminar rutas de archivos específicas, forzar la copia y la eliminación de archivos, copiar archivos, registrar y cancelar procesos e incluso reiniciar el sistema. También vale la pena mencionar que no todas estas funciones funcionan según lo previsto, lo que lleva a los investigadores a creer que el malware aún está en desarrollo o en una etapa de prueba.
El grupo que estaba usando el malware POORTRY original se identificó como UNC3944, también conocido como 0ktapus o Scattered Spider. Esta nueva versión es utilizada por BlackCat (ALPHV). Aunque es difícil ser concluyente al respecto, los investigadores insinúan que podría haber un «vínculo suelto» entre los dos grupos.
Vía: BleepingComputer