{"id":461,"date":"2026-04-06T10:50:46","date_gmt":"2026-04-06T10:50:46","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/06\/qilin-y-warlock-ransomware-utilizan-controladores-vulnerables-para-deshabilitar-mas-de-300-herramientas-edr-cyberdefensa-mx\/"},"modified":"2026-04-06T10:50:46","modified_gmt":"2026-04-06T10:50:46","slug":"qilin-y-warlock-ransomware-utilizan-controladores-vulnerables-para-deshabilitar-mas-de-300-herramientas-edr-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/06\/qilin-y-warlock-ransomware-utilizan-controladores-vulnerables-para-deshabilitar-mas-de-300-herramientas-edr-cyberdefensa-mx\/","title":{"rendered":"Qilin y Warlock Ransomware utilizan controladores vulnerables para deshabilitar m\u00e1s de 300 herramientas EDR \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Se ha observado que los actores de amenazas asociados con las operaciones de ransomware Qilin y Warlock utilizan la t\u00e9cnica de traer su propio controlador vulnerable (BYOVD) para silenciar las herramientas de seguridad que se ejecutan en hosts comprometidos, seg\u00fan los hallazgos de Cisco Talos y Trend Micro.<\/p>\n<p>Se ha descubierto que los ataques Qilin analizados por Talos implementan una DLL maliciosa llamada \u00abmsimg32.dll\u00bb, que inicia una cadena de infecci\u00f3n de varias etapas para deshabilitar las soluciones de detecci\u00f3n y respuesta de endpoints (EDR). La DLL, lanzada mediante carga lateral de DLL, es capaz de terminar m\u00e1s de 300 controladores EDR de casi todos los proveedores de seguridad del mercado.<\/p>\n<p>\u00abLa primera etapa consta de un cargador PE responsable de preparar el entorno de ejecuci\u00f3n para el componente asesino de EDR\u00bb, afirman los investigadores de Talos Takahiro Takeda y Holger Unterbrink. <a href=\"https:\/\/blog.talosintelligence.com\/qilin-edr-killer\/\">dicho<\/a>. \u00abEsta carga \u00fatil secundaria est\u00e1 integrada en el cargador de forma cifrada\u00bb.<\/p>\n<p>El cargador de DLL implementa una serie de t\u00e9cnicas para evadir la detecci\u00f3n. Neutraliza los enlaces del modo de usuario, suprime los registros de eventos de Event Tracing for Windows (ETW) y toma medidas para ocultar el flujo de control y los patrones de invocaci\u00f3n de API. Como resultado, permite que la carga \u00fatil principal del asesino de EDR se descifre, cargue y ejecute completamente en la memoria mientras pasa completamente desapercibida.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/vpn-risk-report-inside-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgWajeG0cdaapf1GKTZRUZUB7BzuYGegyw5k0eAorJXlmkFdYCCeLXXhXYJuXU9lWD33rV6rRnIyly3czoNfYifpxk1eGA5slItPmim3HkubXoQMgC4J7hdQPywxGbWq7Eqeff_o6s2Fq-WmSFd5guwdLn7IqpveMqULqtVnd-ndnljWYGj45EkMFB7m0qm\/s728-e100\/z-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Una vez iniciado, el malware utiliza dos controladores:<\/p>\n<ul>\n<li>rwdrv.sys, una versi\u00f3n renombrada de \u00abThrottleStop.sys\u00bb que se utiliza para obtener acceso a la memoria f\u00edsica del sistema y actuar como una capa de acceso al hardware en modo kernel.<\/li>\n<li>hlpdrv.sys, para finalizar procesos asociados con m\u00e1s de 300 controladores EDR diferentes que pertenecen a diversas soluciones de seguridad.<\/li>\n<\/ul>\n<p>Vale la pena se\u00f1alar que ambos controladores se han utilizado como parte de ataques BYOVD llevados a cabo junto con intrusiones de ransomware Akira y Makop.<\/p>\n<p>\u00abAntes de cargar el segundo controlador, el componente asesino de EDR cancela el registro de las devoluciones de llamadas de monitoreo establecidas por el EDR, lo que garantiza que la terminaci\u00f3n del proceso pueda continuar sin interferencias\u00bb, dijo Talos. \u00abDemuestra los trucos sofisticados que emplea el malware para eludir o desactivar por completo las funciones modernas de protecci\u00f3n EDR en sistemas comprometidos\u00bb.<\/p>\n<p>Seg\u00fan las estad\u00edsticas recopiladas por <a href=\"https:\/\/www.cyfirma.com\/research\/tracking-ransomware-jan-2026\/\">CYFIRMA<\/a> y <a href=\"https:\/\/www.cynet.com\/blog\/qilin-green-blood-0apt-ransomware-groups-to-watch-march-2026\/\">cinet<\/a>Qilin tiene <a href=\"https:\/\/blog.talosintelligence.com\/ransomware-in-2025-blending-in-is-the-strategy\/\">surgi\u00f3<\/a> como el grupo de ransomware m\u00e1s activo en los \u00faltimos meses, cobr\u00e1ndose cientos de v\u00edctimas. El grupo ha sido vinculado a 22 de los 134 incidentes de ransomware reportados en Jap\u00f3n en 2025, lo que representa el 16,4% de todos los ataques.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEj-G9T7oKmDVk_OCp7UjRDNUMcVCIIE-5hhpBsbE6ExXVl5WQNNT2c_TLAKaAK5cif1q8w58uBc-VuYmexWWYrcLnlM__0P5u8Wsopcg1tnIgfVOY7oOMzwUr8ttFXPArBUYxX22ugl5qAiOKsNzTqwPbVLkindO-2j-UP57d3ylUVh5MQO27NkXKCyAuHN\/s1700-e365\/talos.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEj-G9T7oKmDVk_OCp7UjRDNUMcVCIIE-5hhpBsbE6ExXVl5WQNNT2c_TLAKaAK5cif1q8w58uBc-VuYmexWWYrcLnlM__0P5u8Wsopcg1tnIgfVOY7oOMzwUr8ttFXPArBUYxX22ugl5qAiOKsNzTqwPbVLkindO-2j-UP57d3ylUVh5MQO27NkXKCyAuHN\/s1700-e365\/talos.jpg\" alt=\"\" border=\"0\" data-original-height=\"590\" data-original-width=\"1000\"\/><\/a><\/div>\n<p>\u00abQilin se basa principalmente en credenciales robadas para obtener acceso inicial\u00bb, Talos <a href=\"https:\/\/blog.talosintelligence.com\/an-overview-of-ransomware-threats-in-japan-in-2025-and-early-detection-insights-from-qilin-cases\/\">dicho<\/a>. \u00abDespu\u00e9s de traspasar con \u00e9xito un entorno objetivo, el grupo pone un \u00e9nfasis considerable en las actividades posteriores al compromiso, lo que le permite expandir met\u00f3dicamente su control y maximizar el impacto\u00bb.<\/p>\n<p>El proveedor de ciberseguridad tambi\u00e9n se\u00f1al\u00f3 que la ejecuci\u00f3n de ransomware se produjo en promedio aproximadamente seis d\u00edas despu\u00e9s del compromiso inicial, lo que destaca la necesidad de que las organizaciones detecten la actividad maliciosa en la etapa m\u00e1s temprana posible y eviten la implementaci\u00f3n de ransomware.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiCYR3RFB_n5fGH99dW-begvmy-YET_Kxz3EdTkFIpO3ORgOxMi6g_7C2LKHwolltluGw7jZpmO6HPQ8VuD9U5z8-MITHHk_8G8v_uGakfjKPmuYN_B6tJqdmSp_bmYpaCpMt_WuXmQH6uMxnoUClPwykfoJDpiMNBdA2CewDoXvmlMQnF_qRxEwmSDcIrq\/s1700-e365\/ransomware.jpg\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiCYR3RFB_n5fGH99dW-begvmy-YET_Kxz3EdTkFIpO3ORgOxMi6g_7C2LKHwolltluGw7jZpmO6HPQ8VuD9U5z8-MITHHk_8G8v_uGakfjKPmuYN_B6tJqdmSp_bmYpaCpMt_WuXmQH6uMxnoUClPwykfoJDpiMNBdA2CewDoXvmlMQnF_qRxEwmSDcIrq\/s1700-e365\/ransomware.jpg\" alt=\"\" border=\"0\" data-original-height=\"897\" data-original-width=\"1000\"\/><\/a><\/div>\n<p>La divulgaci\u00f3n se produce mientras el grupo de ransomware Warlock (tambi\u00e9n conocido como Water Manaul) contin\u00faa explotando servidores Microsoft SharePoint sin parches, mientras actualiza su conjunto de herramientas para mejorar la persistencia, el movimiento lateral y la evasi\u00f3n de defensa. Esto incluye el uso de TightVNC para un control persistente y una soluci\u00f3n leg\u00edtima pero vulnerable. <a href=\"https:\/\/github.com\/BlackSnufkin\/BYOVD\">controlador NSec<\/a> (\u00abNSecKrnl.sys\u00bb) en un ataque BYOVD para cancelar productos de seguridad a nivel de kernel, reemplazando el controlador \u00abgoogleApiUtil64.sys\u00bb utilizado en campa\u00f1as anteriores.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fast-response-not-fast-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjgi9mu68zRUz1nCLLKmkAA2aBtNfP_JOTXulZoB6yImso1Onk7oM_LI0kdROu8fq5S5oDyMtd1j50W44Ye_8Sl3zQZiE8A9tmFr6kejGKjGh74uoxluF-RyBq_unDQlzjXZHCqQeuYXBoogda5zf0w-zXd6v0rIM7fEw6TcFf_QGWBu5Mop-djkEaOUa5A\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Tambi\u00e9n se observaron durante el curso del ataque de Warlock en enero de 2026 las siguientes herramientas:<\/p>\n<ul>\n<li><a href=\"https:\/\/www.silverfort.com\/glossary\/psexec\/\">PsExec<\/a>para movimiento lateral.<\/li>\n<li>RDP Patcher, para facilitar sesiones RDP simult\u00e1neas.<\/li>\n<li>Velociraptor, para comando y control (C2).<\/li>\n<li>Visual Studio Code y Cloudflare Tunnel, para tunelizar las comunicaciones C2.<\/li>\n<li><a href=\"https:\/\/github.com\/P001water\/yuze\">yuze<\/a>para la penetraci\u00f3n de la intranet y el establecimiento de una conexi\u00f3n de proxy inverso al servidor C2 del atacante a trav\u00e9s de HTTP (puerto 80), HTTPS (puerto 443) y DNS (puerto 53).<\/li>\n<li>Rclone, para exfiltraci\u00f3n de datos.<\/li>\n<\/ul>\n<p>Para contrarrestar las amenazas BYOVD, se recomienda permitir \u00fanicamente controladores firmados de editores de confianza expl\u00edcita, monitorear los eventos de instalaci\u00f3n de controladores y mantener un programa riguroso de administraci\u00f3n de parches para actualizar el software de seguridad, espec\u00edficamente aquellos con componentes basados \u200b\u200ben controladores que podr\u00edan explotarse. <\/p>\n<p>\u00abLa dependencia de Warlock de controladores vulnerables para desactivar los controles de seguridad requiere una defensa de m\u00faltiples capas centrada en la integridad del kernel\u00bb, Trend Micro <a href=\"https:\/\/www.trendmicro.com\/en_us\/research\/26\/c\/dissecting-a-warlock-attack.html\">dicho<\/a>. \u00abPor lo tanto, las organizaciones deben pasar de una protecci\u00f3n b\u00e1sica de endpoints a aplicar una estricta gobernanza de los controladores y un monitoreo en tiempo real de las actividades a nivel del kernel\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Se ha observado que los actores de amenazas asociados con las operaciones de ransomware Qilin y Warlock utilizan la t\u00e9cnica de traer su propio controlador vulnerable (BYOVD) para silenciar las herramientas de seguridad que se ejecutan en hosts comprometidos, seg\u00fan los hallazgos de Cisco Talos y Trend Micro. Se ha descubierto que los ataques Qilin [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1073,24,1251,814,205,98,36,1579,508,92,1074,1580],"class_list":["post-461","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-controladores","tag-cyberdefensa-mx","tag-deshabilitar","tag-edr","tag-herramientas","tag-mas","tag-para","tag-qilin","tag-ransomware","tag-utilizan","tag-vulnerables","tag-warlock"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/461","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=461"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/461\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=461"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=461"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=461"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}