Follow
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Makop ransomware, una variante dentro de la familia Phobos, está atacando organizaciones mediante el abuso de servicios de Protocolo de Escritorio Remoto (RDP) expuestos y aprovechando utilidades comerciales para el descubrimiento, movimiento lateral y escalada de privilegios. La campaña incorpora nuevos elementos, incluyendo el descargador GuLoader y varios exploits de escalada de privilegios locales. Los adversarios despliegan el binario del ransomware en los directorios de usuario bajo nombres de archivo engañosos. La amenaza se dirige principalmente a empresas indias, con actividad observada también en Brasil y Alemania.
Investigación
La Unidad de Investigación de Amenazas de Acronis examinó casos recientes de Makop y mapeó una cadena de ataque repetible que comienza con intentos de fuerza bruta RDP, seguido de escaneo de red, volcado de credenciales y la ejecución de varios exploits de elevación de privilegios impulsados por CVE. Se observó que GuLoader entrega cargas útiles de seguimiento como AgentTesla y FormBook. Los investigadores también documentaron las herramientas de eliminación de AV, controladores vulnerables y desinstaladores personalizados utilizados para neutralizar soluciones de seguridad.
Mitigación
Las defensas recomendadas incluyen la implementación de autenticación multifactor para RDP, la eliminación de cualquier punto final RDP expuesto a internet, la aplicación de parches para todos los CVE referenciados, la monitorización de binarios de cargadores conocidos y utilidades eliminadoras de AV, y el uso de detección en puntos finales para bloquear la ejecución sospechosa de scripts. Mantener las firmas de Windows Defender actualizadas y restringir el uso de controladores no firmados o no confiables reduce aún más la exposición a las técnicas observadas.
Respuesta
Una vez que se detecta actividad, aísle inmediatamente el host afectado, termine los procesos GuLoader o descargadores sospechosos, y capture memoria volátil para análisis. Realice una revisión exhaustiva de posibles volcados de credenciales, bloquee hashes y nombres de archivo maliciosos conocidos, y remedie los CVE explotados. Siempre que sea posible, restaure datos cifrados desde copias de seguridad verificadas y alerte a los equipos apropiados de respuesta a incidentes y gestión.
mermaid graph TB %% Class Definitions Section classDef action fill:#99ccff %% Node definitions initial_access_rdp[«<b>Acción</b> – <b>T1021.001 Servicios Remotos: RDP</b><br/><b>Descripción</b>: Fuerza bruta al iniciar sesión en RDP usando NLBrute»] class initial_access_rdp action defense_evasion_impair[«<b>Acción</b> – <b>T1562 Deterioro de Defensas</b><br/><b>Descripción</b>: Deshabilitar Windows Defender mediante disable‑defender.exe y explotar controladores vulnerables»] class defense_evasion_impair action priv_esc_exploit[«<b>Acción</b> – <b>T1068 Explotación para Escalada de Privilegios</b><br/><b>Descripción</b>: Aprovechar CVE‑2017‑0213, CVE‑2018‑8639, CVE‑2021‑41379, CVE‑2016‑0099»] class priv_esc_exploit action discovery_remote[«<b>Acción</b> – <b>T1018 Descubrimiento de Sistemas Remotos</b><br/><b>Descripción</b>: Escanear red interna con NetScan, Advanced IP Scanner, Masscan»] class discovery_remote action lateral_movement_rdp[«<b>Acción</b> – <b>T1021 Servicios Remotos</b><br/><b>Descripción</b>: Usar credenciales robadas para movimiento lateral RDP y SMB»] class lateral_movement_rdp action credential_dumping[«<b>Acción</b> – <b>T1003 Volcado de Credenciales OS</b><br/><b>Descripción</b>: Extraer credenciales con Mimikatz, LaZagne, NetPass»] class credential_dumping action execution_vbs[«<b>Acción</b> – <b>T1059.005 Visual Basic</b><br/><b>Descripción</b>: Ejecutar script VBS depositado por GuLoader»] class execution_vbs action impact_encrypt[«<b>Acción</b> – <b>T1486 Datos Cifrados por Impacto</b><br/><b>Descripción</b>: Cifrar archivos con cifrador de ransomware Makop»] class impact_encrypt action %% Connections showing attack flow initial_access_rdp u002du002d>|lleva_a| defense_evasion_impair defense_evasion_impair u002du002d>|lleva_a| priv_esc_exploit priv_esc_exploit u002du002d>|lleva_a| discovery_remote discovery_remote u002du002d>|lleva_a| lateral_movement_rdp lateral_movement_rdp u002du002d>|lleva_a| credential_dumping credential_dumping u002du002d>|lleva_a| execution_vbs execution_vbs u002du002d>|lleva_a| impact_encrypt
Flujo de Ataque
Detecciones
Explotación de RDP y Uso de Masscan para Movimiento Lateral de Makop Ransomware [Conexión de Red Windows]
Ver
Detección de la Explotación de ThrottleStop.sys para Escalada de Privilegios [Windows Sysmon]
Ver
Detección de Ejecución de NLBrute, Mimikatz y GuLoader [Creación de Procesos en Windows]
Ver
IOCs (HashSha256) para detectar: Makop ransomware: GuLoader y escalada de privilegios en ataques contra negocios en India Parte 3
Ver
IOCs (HashSha256) para detectar: Makop ransomware: GuLoader y escalada de privilegios en ataques contra negocios en India Parte 1
Ver
Ejecución de Simulación
Prerequisito: El Chequeo Pre‑vuelo de Telemetría y Línea de Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
- Preparación: El atacante obtiene una versión maliciosa de
ThrottleStop.sysque está instrumentada para explotar CVE‑2025‑7771 para escalada de privilegios. - Implementación: El controlador se copia en el directorio de controladores del sistema (
C:WindowsSystem32drivers). - Ejecución: Usando
sc.exe, el atacante crea y comienza un servicio que carga el controlador malicioso, elevando así el proceso a SYSTEM. - Post‑escalada: Con el token elevado, el atacante puede suplantar cuentas de alto privilegio (T1134.005), pero ese paso está fuera del alcance de esta regla.
- Preparación: El atacante obtiene una versión maliciosa de
-
Script de Prueba de Regresión:
# ---------------------------------------------------------------- # Simulate ThrottleStop.sys exploitation (CVE-2025-7771) # ---------------------------------------------------------------- $driverPath = "$env:SystemRootSystem32driversThrottleStop.sys" # 1. Drop the malicious driver (here we use a placeholder copy) Write-Host "[*] Copying malicious ThrottleStop.sys to $driverPath" # In a real test, replace the source with the actual malicious binary Copy-Item -Path ".malicious_ThrottleStop.sys" -Destination $driverPath -Force # 2. Register the driver as a kernel service Write-Host "[*] Creating service for the driver" sc.exe create ThrottleStopSvc binPath= "$driverPath" type= kernel start= demand | Out-Null # 3. Start the driver (triggers Sysmon ImageLoad) Write-Host "[*] Starting the driver service" sc.exe start ThrottleStopSvc | Out-Null Write-Host "[+] Driver loaded – should trigger detection rule." # ---------------------------------------------------------------- -
Comandos de Limpieza:
# Stop and delete the malicious driver service sc.exe stop ThrottleStopSvc | Out-Null sc.exe delete ThrottleStopSvc | Out-Null # Remove the driver file Remove-Item -Path "$env:SystemRootSystem32driversThrottleStop.sys" -Force Write-Host "[*] Cleanup complete."