Medusa Ransomware utiliza un controlador malicioso para desactivar el antimalware con certificados robados
Se ha observado que los actores de amenazas detrás de la operación de ransomware como servicio (RaaS) de Medusa utilizan un controlador malicioso denominado ABYSSWORKER como parte de un ataque de “traiga su propio controlador vulnerable” (BYOVD) diseñado para deshabilitar las herramientas antimalware.
Elastic Security Labs dijo que observó un ataque de ransomware Medusa que entregó el cifrado por medio de un cargador empaquetado con un empaquetador como servicio (PaaS) llamado HeartCrypt.
“Este cargador se implementó junto con un controlador firmado por certificado revocado de un proveedor chino al que llamamos ABYSSWORKER, que instala en la máquina víctima y luego usa para atacar y silenciar a diferentes proveedores de EDR”, dijo la compañía en un informe.
El controlador en cuestión, “smuol.sys”, imita a un controlador legítimo de CrowdStrike Falcon (“CSAgent.sys”). Se han detectado docenas de artefactos de ABYSSWORKER en la plataforma VirusTotal que datan del 8 de agosto de 2024 al 25 de febrero de 2025. Todas las muestras identificadas están firmadas con certificados probablemente robados y revocados de empresas chinas.
