Ransomware Makop: GuLoader y elevación de privilegios en ataques contra empresas indias

Otros idiomas disponibles:English Italiano

Autores: Ilia Dafchev y Darrel Virtusio

Resumen

Al igual que el ransomware Phobos, su variante Makop sigue aprovechando sistemas expuestos de Protocolo de escritorio remoto (RDP) mientras añade nuevos componentes como exploits de elevación local de privilegios y malware de tipo "loader" (cargador) a su conjunto de herramientas tradicional.

El ataque suele empezar con el aprovechamiento del protocolo RDP, seguido del despliegue de analizadores de red, herramientas de desplazamiento lateral y exploits de elevación de privilegios, antes de pasar a la fase de cifrado o detenerse si los atacantes no consiguen eludir la solución de seguridad existente.

Los atacantes utilizan una combinación de herramientas genéricas, entre las que se incluyen analizadores de red, programas para desactivar antivirus y numerosos exploits de elevación local de privilegios, junto con nombres de archivo engañosos para evitar la detección.

GuLoader, un troyano de tipo "downloader" (descargador), se utiliza para entregar cargas útiles secundarias, lo que indica una evolución en la metodología de Makop al integrar más técnicas para eludir las medidas de seguridad y añadir mecanismos adicionales de distribución de malware.

La mayoría de los ataques (55 %) tienen como objetivo organizaciones en India, aunque también se han registrado incidentes en Brasil, Alemania y en otros países.

Introducción

Makop es una cepa de ransomware que se observó por primera vez alrededor de 2020 y suele considerarse una derivación de la familia Phobos. Recientemente, los investigadores de la Unidad de investigación de amenazas de Acronis (TRU) identificaron nueva actividad y herramientas asociadas con Makop, lo que motivó una investigación más exhaustiva de varios casos recientes de ransomware para comprender mejor cómo los ciberdelincuentes llevan a cabo sus ataques.

El patrón que se observó en Makop fue que los atacantes prefieren trabajar sin complicarse mucho y sin apenas esforzarse. La mayoría de las víctimas sufrieron intrusiones a través de RDP y, una vez que lograban acceder a sus sistemas, los atacantes solían utilizar herramientas genéricas para el descubrimiento y el desplazamiento lateral, como analizadores de red, exploits de elevación local de privilegios (LPE), programas para desactivar antivirus como controladores vulnerables, terminadores de procesos, software de desinstalación dirigido y herramientas de acceso a credenciales como Mimikatz, así como otros pasos de la cadena de ataque.

Lo interesante fue observar su colección de exploits de elevación local de privilegios y que en algunas ocasiones vimos que se utilizaba GuLoader. GuLoader es un tipo de malware descargador que se descubrió por primera vez a finales de 2019 y que distribuye diferentes tipos de malware de segunda fase. Además, nos consta que despliega malware como AgentTesla, FormBook, XLoader y Lokibot, entre otros.

La guía táctica de Makop

El flujo de los ataques de Makop suele seguir un patrón conocido. Los atacantes de ransomware obtienen acceso inicial a los sistemas de las víctimas al aprovechar los servicios de Protocolo de escritorio remoto (RDP) expuestos públicamente e inseguros. Habitualmente recurren a ataques de fuerza bruta o de diccionario para descifrar credenciales débiles o reutilizadas. Una vez dentro de los sistemas objetivo, preparan sus herramientas para analizar la red, elevar privilegios, desactivar el software de seguridad, extraer credenciales y, por último, desplegar el cifrador.

Después de la fase inicial de preparación, los atacantes proceden con el descubrimiento, la evasión de defensas, la elevación de privilegios y el desplazamiento lateral, aunque los pasos no siempre ocurren en un orden específico. En algunos incidentes, los atacantes se retiran cuando la solución de seguridad implementada en el sistema objetivo consigue detectar sus herramientas. Sin embargo, en ocasiones muestran un esfuerzo adicional para evadirla, ya sea utilizando muestras empaquetadas con VMProtect de las mismas herramientas o intentando desactivar la solución de seguridad, ya sea tratando de desinstalarla manualmente o recurriendo a herramientas de hacking. Si en ese punto también fracasan, entonces se retiran y dejan a la víctima.

La cadena de ejecución observada en los ataques recientes de Makop se ilustra en el siguiente diagrama.

La caja de herramientas de Makop

La herramienta de Makop se descarga con mayor frecuencia en recursos compartidos de RDP montados en red (como "\\tsclient\") o dentro del directorio Música del usuario. Aunque en algunos casos los atacantes también utilizaron las carpetas Descargas, Escritorio, Documentos o el root de la unidad C:. Las subcarpetas solían tener nombres como "Bug" o "Exp.". El propio binario del cifrador también suele emplear uno de los siguientes nombres de archivo: bug_osn.exe, bug_hand.exe, 1bugbug.exe, bugbug.exe, taskmgr.exe, mc_osn.exe, mc_hand.exe y variantes de estos con prefijos de punto (como p. ej., ".taskmgr.exe").

Acceso inicial

Los atacantes que utilizan Makop suelen aprovechar credenciales débiles de RDP para obtener acceso al entorno de las víctimas. El protocolo RDP es uno de los métodos preferidos de los ciberdelincuentes para comprometer organizaciones, ya que muchas de ellas aún utilizan credenciales débiles y no han habilitado la autenticación multifactor (MFA), lo que las hace especialmente vulnerables a ataques de fuerza bruta, una de las tácticas más comunes de los grupos de ransomware.

Durante nuestra investigación, detectamos específicamente el uso de NLBrute. Se trata de una herramienta de hacking antigua que se empezó a vender en foros de ciberdelincuencia en 2016. Poco después de su aparición, surgió una versión crackeada de NLBrute, lo que impulsó su uso entre los ciberdelincuentes.

NLBrute requiere información como una lista de direcciones IP objetivo con el protocolo RDP expuesto (a menudo en el puerto predeterminado 3389, aunque se puede personalizar) junto con listas de nombres de usuario y contraseñas conocidas, utilizadas en ataques de fuerza bruta como ataques de diccionario o difusión de contraseñas (del inglés "password spraying", una técnica que consiste en probar unas pocas contraseñas comunes contra un gran número de cuentas). Aunque el aprovechamiento de RDP no es la intrusión más sofisticada, sigue siendo una de las técnicas más eficaces que permiten lanzar ataques de ransomware. Una vez que el ransomware Makop logra acceder a través de RDP, puede empezar a desplazarse lateralmente por la infraestructura de la organización y maximizar su impacto.

Análisis de red y desplazamiento lateral

Para el descubrimiento y el desplazamiento lateral, en nuestra telemetría aparecieron múltiples herramientas. NetScan se utilizó con mayor frecuencia, mientras que Advanced IP Scanner sirvió como alternativa en otros casos.

Advanced IP Scanner analiza las redes locales para identificar hosts activos y servicios abiertos, con el fin de ayudar a los atacantes a asignar objetivos para el desplazamiento lateral.

Los ciberdelincuentes han combinado estas herramientas con Advanced Port Scanner y Masscan para analizar puertos. Estas herramientas se utilizan habitualmente para enumerar la red y la infraestructura, así como para localizar hosts y servicios de alto valor que respalden las actividades de desplazamiento lateral. No solo son altamente eficaces, sino que además pueden confundirse con la actividad legítima de administración del sistema.

Masscan analiza puertos a gran velocidad en amplios rangos de direcciones, lo que permite a los atacantes localizar rápidamente servicios expuestos.

Evasión de defensas

Se detectó el uso de varios desactivadores de antivirus por parte de los operadores, entre ellos herramientas como Defender Control y Disable Defender para desactivar Windows Defender. Ambas son herramientas ligeras y eficaces para deshabilitar temporalmente las funciones de Microsoft Defender.

Asimismo, se emplean técnicas BYOVD (del inglés "bring your own vulnerable driver", o "traiga su propio controlador vulnerable") mediante el uso de controladores vulnerables como hlpdrv.sys y ThrottleStop.sys. ThrottleStop.sys es un controlador legítimo y firmado, desarrollado por TechPowerUp para la aplicación ThrottleStop, una herramienta diseñada para supervisar y corregir problemas de limitación de la CPU. La vulnerabilidad de ThrottleStop (CVE-2025-7771) proviene de la forma en que el controlador gestiona el acceso a la memoria. Los atacantes pueden aprovecharla para obtener control, lo que finalmente conduce a la desactivación de herramientas de seguridad.

Otro controlador vulnerable es hlpdrv.sys. Este controlador, cuando se registra como servicio, es conocido por obtener acceso a nivel de kernel y por ser capaz de finalizar los procesos de las soluciones de EDR. Ambos controladores se han utilizado en campañas previas de ransomware, específicamente por MedusaLocker, Akira y Qilin.

También descubrimos que los atacantes desplegaron un software de desinstalación personalizado para eliminar Quick Heal AV. Quick Heal AV es un antivirus y solución de seguridad de endpoints de Quick Heal Technologies (India) que ofrece protección contra malware tanto a clientes particulares como empresariales.

Desinstalador de Quick Heal AV

El uso de un desinstalador personalizado de Quick Heal AV coincide con nuestros datos de telemetría, que muestran que la mayoría de las víctimas se encontraban en India. Esta eliminación dirigida indica que los atacantes adaptaron partes de su conjunto de herramientas en función de la región de las víctimas objetivo.

Por último, también abusaron de aplicaciones como Process Hacker e IOBitUnlocker. Ambas aplicaciones son legítimas, pero los ciberdelincuentes las utilizan para finalizar procesos con facilidad y eliminar programas.

Elevación de privilegios

Se han aprovechado múltiples vulnerabilidades de elevación local de privilegios (LPE), que abarcan desde las divulgaciones más antiguas hasta las más recientes.

CVE-2016-0099

CVE-2017-0213

CVE-2018-8639

CVE-2019-1388

CVE-2020-0787

CVE-2020-0796

CVE-2020-1066

CVE-2021-41379

CVE-2022-24521

Las vulnerabilidades aprovechadas en estos casos afectan a componentes de Windows, como BITS, Win32k, controladores KS/pymes, instaladores de Windows, IOCTL de proveedores, etc. En los ataques de ransomware Makop se utilizan estas vulnerabilidades específicas, ya que todas se centran en atacar la misma plataforma; muchas de ellas tienen pruebas de concepto (PoC) disponibles públicamente que facilitan su conversión en armas, y otorgan privilegios de sistema de forma fiable, que es exactamente lo que el ransomware necesita para maximizar su impacto. El rango de vulnerabilidades y riesgos comunes (CVE) aprovechados también muestra que el grupo mantiene múltiples primitivas de elevación local de privilegios (LPE) en su conjunto de herramientas para recurrir a ellas si alguna falla. En nuestra telemetría, las vulnerabilidades CVE-2017-0213, CVE-2018-8639, CVE-2021-41379 y CVE-2016-0099 se encontraban entre las más utilizadas por los atacantes, lo que indica que estas vulnerabilidades son fiables y eficaces en los ataques.

Acceso a credenciales

Los atacantes utilizan herramientas de volcado de credenciales y de fuerza bruta para recopilar datos confidenciales. Se apoyan en herramientas como Mimikatz, LaZagne y NetPass para extraer contraseñas guardadas, credenciales en caché y tokens de autenticación. También utilizan herramientas de fuerza bruta como CrackAccount y AccountRestore para acceder a cuentas adicionales. Las credenciales robadas permiten llevar a cabo el desplazamiento lateral y brindan a los atacantes acceso a más sistemas dentro de la infraestructura de la víctima, lo que aumenta el impacto del ransomware. Muchos grupos de ransomware siguen el mismo patrón, lo que pone de relieve la eficacia de estas herramientas a la hora de alcanzar los objetivos de los atacantes.

Entre las herramientas de volcado de credenciales, Mimikatz es la más utilizada. Esta herramienta, utilizada en la fase posterior al aprovechamiento de las vulnerabilidades, extrae credenciales directamente de la memoria de Windows, incluidas contraseñas en texto plano, hashes NTLM, tickets de Kerberos y otra información confidencial gestionada por la Autoridad de Seguridad Local (LSA).

Por su parte, LaZagne complementa a Mimikatz al centrarse en las credenciales almacenadas localmente en distintas aplicaciones. Esta herramienta de código abierto es compatible con navegadores, perfiles de Wi‑Fi, clientes de correo electrónico, bases de datos y almacenes de credenciales de Windows.

Network Password Recovery (NetPass) se centra en credenciales relacionadas con la red, recuperando contraseñas de unidades asignadas, conexiones VPN, sesiones de escritorio remoto y otras funciones de red de Windows. Esto permite a los atacantes obtener rápidamente acceso a las contraseñas guardadas por el sistema operativo.

Por último, otras herramientas de fuerza bruta como AccountRestore funcionan de manera diferente en comparación con las herramientas de volcado de credenciales mencionadas anteriormente, ya que prueban múltiples combinaciones de contraseñas para obtener acceso a las cuentas objetivo.

GuLoader

Además de las herramientas mencionadas anteriormente, hubo casos en los que GuLoader se colocó en el mismo directorio que otras herramientas y se utilizó para entregar cargas adicionales. El uso de cargadores para desplegar cifradores de ransomware es una táctica común entre los grupos de ransomware. Grupos de ransomware como Qilin, Ransomhub, BlackBasta y Rhysida han aprovechado los cargadores en campañas anteriores, pero este parece ser el primer caso documentado de distribución de Makop a través de un cargador.

Una vez que GuLoader se ha instalado correctamente en el sistema objetivo, podrá empezar a desplegar sus cargas útiles.

Ruta del archivo

Línea de comando

Descripción

%USERPROFILE$\Music\1\BUG\TreasureRoberts.exe

“%USERPROFILE$\Music\1\BUG\TreasureRoberts.exe”

La ejecución de GuLoader deposita un script VBS para instalar el malware.

%WINDIR%\System32\WScript.exe

"%USERPROFILE%\Music\1\BUG\67138435cf99c.vbs”

Instalación de GuLoader

%USERPROFILE%\Music\1\BUG\.mc_fxt.exe

Ransomware Makop

%USERPROFILE%\Music\1\BUG\.mc_n1tro.exe

Ransomware Makop

%USERPROFILE%\Music\1\BUG\.mc_p1z.exe

Ransomware Makop

Países de las víctimas

La mayor parte de las organizaciones atacadas (en torno al 55 % de todos los ataques de Makop) se encontraba en India, con porcentajes inferiores en Brasil y Alemania, además de algunos incidentes aislados en otros países. Esta distribución no significa necesariamente que Makop tenga en su punto de mira a un país específico más que a otros, sino que podría deberse a la existencia de más empresas con un nivel de seguridad deficiente. Los atacantes que emplean Makop parecen actuar de manera oportunista, centrándose en redes donde las debilidades reducen el esfuerzo necesario para el acceso inicial, la intrusión posterior y el cifrado.

Conclusión

Las campañas de ransomware Makop subrayan la amenaza que representan los atacantes que aprovechan vulnerabilidades conocidas y prácticas de seguridad deficientes. Al aprovechar sistemas expuestos del protocolo RDP junto con una variedad de herramientas genéricas, desde analizadores de red hasta exploits de elevación local de privilegios, los adversarios demuestran un enfoque de bajo esfuerzo pero altamente eficaz. La integración de ciertas técnicas, como el uso de GuLoader para entregar cargas útiles secundarias y adaptar las tácticas según las regiones objetivo, enfatiza aún más la necesidad de que las organizaciones adopten medidas de seguridad sólidas, como procesos de autenticación eficaces y la administración periódica de parches.

En general, puntos de entrada aparentemente triviales como un sistema de RDP sin la protección adecuada pueden derivar en brechas de seguridad significativas. Las organizaciones de todo el mundo, sobre todo aquellas con brechas de seguridad conocidas, deberían reevaluar y reforzar continuamente sus defensas contra el ransomware y otras ciberamenazas.