Crypto24 Ransomware Evade Defensas EDR en Ataques Globales

Una nueva y sofisticada operación de ransomware denominada Crypto24 ha surgido como una amenaza global significativa, dirigida específicamente a redes empresariales con herramientas diseñadas para evadir soluciones modernas de seguridad en endpoints. Investigadores de ciberseguridad han observado que el grupo emplea técnicas avanzadas para evadir sistemas de Endpoint Detection and Response (EDR), lo que hace particularmente difícil su detección para los equipos de seguridad.

La operación Crypto24 destaca por su uso de técnicas Bring Your Own Vulnerable Driver (BYOVD) - una tendencia creciente entre actores de amenazas avanzados. Este enfoque implica explotar controladores vulnerables pero legítimos para obtener acceso a nivel del kernel, permitiendo a los atacantes desactivar o eludir productos de seguridad antes de desplegar cargas útiles de ransomware.

Análisis técnicos revelan que los operadores de Crypto24 primero obtienen acceso inicial mediante credenciales RDP comprometidas o campañas de phishing. Una vez dentro de la red, realizan un reconocimiento extenso para identificar objetivos de alto valor antes de moverse lateralmente. La carga útil del ransomware se despliega típicamente después de que los atacantes han desactivado las soluciones de seguridad usando su acceso a nivel del kernel.

Impacto Sectorial:
El ransomware ha mostrado especial interés en corporaciones multinacionales de tres sectores clave:

Recomendaciones Defensivas:
Los equipos de seguridad deberían considerar implementar las siguientes medidas:

La aparición de Crypto24 resalta la sofisticación evolutiva de las operaciones de ransomware y subraya la necesidad de estrategias de defensa en profundidad que vayan más allá de las soluciones tradicionales de EDR.