Infección de Ransomware de Genshin Impact: Adversarios Abusan del Controlador Anti-Cheat

Genshin Impact, un popular RPG de acción de mundo abierto, se aprovecha para distribuir ransomware. Los actores de amenazas abusan de mhyprot2.sys, un controlador anti-trampas vulnerable, para terminar procesos y servicios de antivirus para desplegar ransomware. Utilizando el controlador legítimo como un rootkit, los adversarios buscan primero desplegar el ransomware en la máquina objetivo con la intención de una propagación subsiguiente de la infección a otras estaciones de trabajo.

Detectar Explotaciones de Ransomware

Para identificar comportamientos asociados con el abuso del controlador vulnerable mhyprot2.sys de Genshin Impact, utiliza el siguiente contenido de detección de amenazas lanzado por experimentados colaboradores de Threat Bounty Kaan Yeniyol and Aykut Gürses:

Detección del Controlador Anti-Trampas de Genshin Impact en Actividad de Ransomware

The Reglas basadas en Sigma están referenciadas al marco de trabajo MITRE ATT&CK® v.10, y se pueden aplicar a 26 soluciones SIEM, EDR y XDR soportadas por la plataforma de SOC Prime.

El Threat Detection Marketplace alberga más de 130,000 piezas de contenido de detección verificadas, incluidas detecciones, alertas, consultas de rastreo y guías. Alrededor de 140 nuevas detecciones se añaden cada mes. Haz clic en el botón Detectar & Rastrear para acceder al contenido de detección de alta calidad dedicado a identificar posibles explotaciones de ransomware. Para obtener información contextual perspicaz, haz clic en el botón Explorar Contexto de Amenazas , y profundiza en la lista de reglas Sigma relevantes acompañadas de metadatos completos — no se requiere registro.

Detectar & Rastrear Explorar Contexto de Amenazas

El Análisis de Incidentes

La divulgación de los investigadores de Trend Micro detalla un abuso reciente del juego de rol Genshin Impact por actores de ransomware. Según los datos de la investigación, los actores de amenazas aprovechan un controlador firmado digitalmente vulnerable responsable de las funciones anti-trampas del juego. Abusando de mhyprot2.sys, un controlador dentro del sistema anti-trampas del juego, los actores de ransomware pueden eludir los privilegios del sistema y terminar los procesos de protección del endpoint ejecutando comandos desde el modo kernel.

También se reveló que esta vulnerabilidad ha existido durante unos dos años y aún permanece sin corregir.

En julio, introdujimos algunas mejoras significativas al Programa Threat Bounty de SOC Prime. Aprende más sobre el programa de los desarrolladores de contenido de detección más prolíficos del mundo cibernético y asegura tu lugar entre los líderes de la industria con SOC Prime.