Warlock continúa fortaleciendo su cadena de ataque con nuevas tácticas para mejorar la persistencia, el movimiento lateral y la evasión de defensas utilizando un conjunto de herramientas expandido: TightVNC, Yuze y una técnica persistente BYOVD que aprovecha el controlador NSec. Los métodos actualizados del grupo incluyen el uso de TightVNC como un servicio silencioso de Windows a través de PsExec para acceso remoto GUI persistente; abuso de Yuze para establecer conexiones SOCKS5 sobre puertos comunes y una nueva técnica BYOVD que explota una vulnerabilidad en el controlador NSec para terminar productos de seguridad al nivel del núcleo. Estas mejoras permiten a Warlock mantener el control y propagarse más eficazmente por redes.
Pantallas web, túneles y ransomware: desglosando un ataque de Warlock
Summary: El grupo de ransomware Warlock ha incrementado su cadena de ataque incorporando nuevas técnicas como TightVNC, Yuze y una técnica persistente BYOVD que aprovecha el controlador NSec para mejorar la persistencia, el movimiento lateral y la evasión.
Key facts
- El grupo de ransomware Warlock ha mejorado su cadena de ataque con nuevas técnicas
- Nuevas tácticas incluyen TightVNC, Yuze y una técnica persistente BYOVD que aprovecha el controlador NSec
- Industrias objetivas: tecnología, manufactura, gobierno
- Países más objetivos: Estados Unidos, Alemania, Rusia
Why it matters
La expansión del conjunto de herramientas de ataque de Warlock plantea riesgos significativos para industrias objetivas como la tecnología, la manufactura y el gobierno, al permitir infecciones persistentes y movimientos laterales sofisticados que son más difíciles de detectar y mitigar. Esto subraya la necesidad de una vigilancia continua y medidas de seguridad robustas en sectores críticos.