Se ha observado que los actores de amenazas asociados con las operaciones de ransomware Qilin y Warlock utilizan la técnica de traer su propio controlador vulnerable (BYOVD) para silenciar las herramientas de seguridad que se ejecutan en hosts comprometidos, según los hallazgos de Cisco Talos y Trend Micro.

Se ha descubierto que los ataques Qilin analizados por Talos implementan una DLL maliciosa llamada «msimg32.dll», que inicia una cadena de infección de varias etapas para deshabilitar las soluciones de detección y respuesta de endpoints (EDR). La DLL, lanzada mediante carga lateral de DLL, es capaz de terminar más de 300 controladores EDR de casi todos los proveedores de seguridad del mercado.

«La primera etapa consta de un cargador PE responsable de preparar el entorno de ejecución para el componente asesino de EDR», afirman los investigadores de Talos Takahiro Takeda y Holger Unterbrink. dicho. «Esta carga útil secundaria está integrada en el cargador de forma cifrada».

El cargador de DLL implementa una serie de técnicas para evadir la detección. Neutraliza los enlaces del modo de usuario, suprime los registros de eventos de Event Tracing for Windows (ETW) y toma medidas para ocultar el flujo de control y los patrones de invocación de API. Como resultado, permite que la carga útil principal del asesino de EDR se descifre, cargue y ejecute completamente en la memoria mientras pasa completamente desapercibida.

Una vez iniciado, el malware utiliza dos controladores:

• rwdrv.sys, una versión renombrada de «ThrottleStop.sys» que se utiliza para obtener acceso a la memoria física del sistema y actuar como una capa de acceso al hardware en modo kernel.
• hlpdrv.sys, para finalizar procesos asociados con más de 300 controladores EDR diferentes que pertenecen a diversas soluciones de seguridad.

Vale la pena señalar que ambos controladores se han utilizado como parte de ataques BYOVD llevados a cabo junto con intrusiones de ransomware Akira y Makop.

«Antes de cargar el segundo controlador, el componente asesino de EDR cancela el registro de las devoluciones de llamadas de monitoreo establecidas por el EDR, lo que garantiza que la terminación del proceso pueda continuar sin interferencias», dijo Talos. «Demuestra los trucos sofisticados que emplea el malware para eludir o desactivar por completo las funciones modernas de protección EDR en sistemas comprometidos».

Según las estadísticas recopiladas por CYFIRMA y cinetQilin tiene surgió como el grupo de ransomware más activo en los últimos meses, cobrándose cientos de víctimas. El grupo ha sido vinculado a 22 de los 134 incidentes de ransomware reportados en Japón en 2025, lo que representa el 16,4% de todos los ataques.

«Qilin se basa principalmente en credenciales robadas para obtener acceso inicial», Talos dicho. «Después de traspasar con éxito un entorno objetivo, el grupo pone un énfasis considerable en las actividades posteriores al compromiso, lo que le permite expandir metódicamente su control y maximizar el impacto».

El proveedor de ciberseguridad también señaló que la ejecución de ransomware se produjo en promedio aproximadamente seis días después del compromiso inicial, lo que destaca la necesidad de que las organizaciones detecten la actividad maliciosa en la etapa más temprana posible y eviten la implementación de ransomware.

La divulgación se produce mientras el grupo de ransomware Warlock (también conocido como Water Manaul) continúa explotando servidores Microsoft SharePoint sin parches, mientras actualiza su conjunto de herramientas para mejorar la persistencia, el movimiento lateral y la evasión de defensa. Esto incluye el uso de TightVNC para un control persistente y una solución legítima pero vulnerable. controlador NSec («NSecKrnl.sys») en un ataque BYOVD para cancelar productos de seguridad a nivel de kernel, reemplazando el controlador «googleApiUtil64.sys» utilizado en campañas anteriores.

También se observaron durante el curso del ataque de Warlock en enero de 2026 las siguientes herramientas:

• PsExecpara movimiento lateral.
• RDP Patcher, para facilitar sesiones RDP simultáneas.
• Velociraptor, para comando y control (C2).
• Visual Studio Code y Cloudflare Tunnel, para tunelizar las comunicaciones C2.
• yuzepara la penetración de la intranet y el establecimiento de una conexión de proxy inverso al servidor C2 del atacante a través de HTTP (puerto 80), HTTPS (puerto 443) y DNS (puerto 53).
• Rclone, para exfiltración de datos.

Para contrarrestar las amenazas BYOVD, se recomienda permitir únicamente controladores firmados de editores de confianza explícita, monitorear los eventos de instalación de controladores y mantener un programa riguroso de administración de parches para actualizar el software de seguridad, específicamente aquellos con componentes basados ​​en controladores que podrían explotarse.

«La dependencia de Warlock de controladores vulnerables para desactivar los controles de seguridad requiere una defensa de múltiples capas centrada en la integridad del kernel», Trend Micro dicho. «Por lo tanto, las organizaciones deben pasar de una protección básica de endpoints a aplicar una estricta gobernanza de los controladores y un monitoreo en tiempo real de las actividades a nivel del kernel».

La Oficina Federal de Policía Criminal de Alemania (también conocida como BKA o Bundeskriminalamt) ha desenmascarado la identidad real de los principales actores de amenazas asociados con el ahora desaparecido REvil (también conocido como Sodinokibi) operación de ransomware como servicio (RaaS).

El actor de amenazas, que se hacía llamar DESCONOCIDOactuó como representante del grupo y anunció el ransomware en junio de 2019 en el foro de cibercrimen XSS. Ahora ha sido identificado como Daniil Maksimovich Shchukinciudadano ruso de 31 años. También utilizó los apodos en línea Oneiilk2, Oneillk2, Oneillk22 y GandCrab.

El desarrollo fue reportado por el periodista independiente de seguridad Brian Krebs.

«Desde principios de 2019 como máximo hasta al menos julio de 2021, la persona buscada, en cooperación con otras personas, actuó como líder de uno de los grupos de ransomware más grandes del mundo, conocido como GandCrab/REvil», dijo BKA. «Los perpetradores exigieron grandes pagos de rescate a cambio de descifrar y no filtrar datos».

También se añade a la lista de buscados Anatoly Sergeevitsch Kravchukun ruso de 43 años nacido en la ciudad ucraniana de Makiivka. Se alega que actuó como desarrollador de REvil durante el mismo período de tiempo.

Se sospecha que Shchukin y Kravchuk han llevado a cabo 130 ataques de ransomware en toda Alemania. De ellos, 25 casos dieron lugar al pago de 1,9 millones de euros (2,19 millones de dólares). Los incidentes provocaron en conjunto daños financieros superiores a 35,4 millones de euros (40,8 millones de dólares).

REVOLVER (también conocido como Water Mare y Gold Southfield) fue uno de los prolíficos grupos de ransomware que contó con empresas como JBS y Kaseya entre sus víctimas. Una evolución de la CangrejoGand ransomware, el grupo de delitos electrónicos se desconectó misteriosamente a mediados de julio de 2021, para resurgir dos meses después.

En octubre de 2021, el grupo dejó de operar y su sitio de filtración de datos se volvió inaccesible como parte de una operación policial. Semanas más tarde, las autoridades policiales rumanas anunciaron el arresto de dos personas por su papel como afiliados de la familia de ransomware REvil.

En una medida poco común, el Servicio Federal de Seguridad (FSB) de Rusia reveló en enero de 2022 que había arrestado a varios miembros pertenecientes a la famosa banda de ransomware REvil y neutralizado sus operaciones. Cuatro de esos miembros fueron enviados a varios años de prisión en octubre de 2024, informó la publicación de noticias rusa Kommersant.

UNKN también desaparecido de los foros de cibercrimen coincidiendo con la operación, lo que llevó a otro usuario, REvil (más tarde rebautizado como 0_neday), a convertirse en la cara pública de las operaciones de la pandilla.

en un entrevista Con Dmitry Smilyanets de Recorded Future en marzo de 2021, UNKN dijo que había estado en el negocio del ransomware desde 2007 y que en un momento tenían hasta 60 afiliados trabajando para el grupo.

«Cuando era niño, hurgaba en los montones de basura y fumaba colillas. Caminé 10 kilómetros de ida a la escuela», dijo. «Llevé la misma ropa durante seis meses. En mi juventud, en un apartamento comunal, no comí durante dos o incluso tres días. Ahora soy millonario».