Las bandas de ransomware recurren al empaquetador Shanya EXE para ocultar los asesinos EDR

Varias bandas de ransomware están utilizando una plataforma de empaquetador como servicio llamada Shanya para ayudarlos a implementar cargas útiles que deshabilitan las soluciones de detección y respuesta de puntos finales en los sistemas de las víctimas.

Los servicios de empaquetamiento proporcionan a los cibercriminales herramientas especializadas para empaquetar sus cargas útiles de manera tal que ofusquen el código malicioso para evadir la detección de la mayoría de las herramientas de seguridad y motores antivirus conocidos.

La operación de empaquetamiento Shanya surgió a fines de 2024 y ha crecido significativamente en popularidad; se han detectado muestras de malware que la utilizan en Túnez, Emiratos Árabes Unidos, Costa Rica, Nigeria y Pakistán, según datos de telemetría de Sophos Security.

Entre los grupos de ransomware que se ha confirmado que lo han utilizado se encuentran Medusa, Qilin, Crytox y Akira, siendo este último el que utiliza con mayor frecuencia el servicio de empaquetadores.

Empaquetador Shanya utilizado en ataques de ransomware. Fuente: Sophos

Cómo funciona Shanya

Los actores de amenazas envían sus cargas maliciosas a Shanya, y el servicio devuelve una versión “empaquetada” con un contenedor personalizado, utilizando cifrado y compresión.

El servicio promueve la singularidad de las cargas útiles resultantes, destacando la “carga de módulos no estándar en la memoria, envoltorio sobre la unicidad del loaderStub del sistema”, con “cada cliente recibiendo su propio stub (relativamente) único con un algoritmo de cifrado único al momento de la compra”.

Código basura en el cargador. Fuente: Sophos

La carga útil se inserta en una copia mapeada en memoria del archivo DLL de Windows ‘ 
shell32.dll ‘. Este archivo DLL tiene secciones ejecutables y tamaño válidos, y su ruta parece normal, pero su encabezado y sección .text se han sobrescrito con la carga útil descifrada.

Mientras que la carga útil se cifra dentro del archivo empaquetado, se descifra y descomprime mientras todavía está completamente en la memoria, y luego se inserta en el archivo de copia ‘ shell32.dll ‘, sin tocar nunca el disco.

Los investigadores de Sophos descubrieron que Shanya realiza comprobaciones para soluciones de detección y respuesta de puntos finales (EDR) llamando a la función ‘ RtlDeleteFunctionTable ‘ en un contexto no válido.

Esto desencadena una excepción no controlada o un bloqueo cuando se ejecuta bajo un depurador de modo de usuario, lo que interrumpe el análisis automatizado antes de la ejecución completa de la carga útil.

Desactivación de EDR

Los grupos de ransomware generalmente buscan deshabilitar las herramientas EDR que se ejecutan en el sistema objetivo antes de las etapas de robo de datos y cifrado del ataque.

La ejecución generalmente ocurre a través de la carga lateral de DLL, combinando un ejecutable legítimo de Windows como ‘ consent.exe ‘ con una DLL maliciosa empaquetada en Shanya como msimg32.dll , version.dll , rtworkq.dll o wmsgapi.dll .

Según el análisis de Sophos, el asesino EDR elimina dos controladores: un ThrottleStop.sys ( rwdrv.sys ) legítimamente firmado de TechPowerUp, que contiene una falla que permite la escritura arbitraria en la memoria del kernel, y el hlpdrv.sys sin firmar .

El controlador firmado se utiliza para la escalada de privilegios, mientras que hlpdrv.sys deshabilita los productos de seguridad según los comandos recibidos desde el modo de usuario.

El componente de modo de usuario enumera los procesos en ejecución y los servicios instalados, luego compara los resultados con las entradas de una extensa lista codificada y envía un comando de “eliminación” al controlador del kernel malicioso para cada coincidencia.

Lista parcial de servicios específicos. Fuente: Sophos

Además de los operadores de ransomware centrados en la desactivación de EDR, Sophos también ha observado campañas recientes de ClickFix que emplean el servicio Shanya para empaquetar el malware CastleRAT.

Sophos señala que las bandas de ransomware a menudo dependen de servicios de empaquetamiento para preparar a los asesinos EDR para que se implementen sin ser detectados.

Los investigadores proporcionan un análisis técnico detallado de algunas de las cargas útiles que transporta Shanya.

El informe también incluye  indicadores de compromiso (IoC) asociados con las campañas impulsadas por Shanya.

Fuente: bleepingcomputer

Más historias

Desmitificando la Dark Web. Una guía para principiantes

Ciberespionaje de MuddyWater: Snakes by the riverbank

Las extensiones maliciosas de VSCode en el registro de Microsoft eliminan a los ladrones de información

Tres grupos de hackers, dos vulnerabilidades y todas las miradas puestas en China

Pacto Oscuro 3.0: Impunidad controlada y los cibercriminales rusos