Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
2985
)
-
▼
abril
(Total:
660
)
-
Vulnerabilidad en CrowdStrike LogScale permite a a...
-
Microsoft lanza actualización de emergencia .NET 1...
-
Un modder tarda 4 años en crear su PC «Seraphim» c...
-
Firefox 150 llega con mejoras generales y novedade...
-
Los ordenadores Apple Mac con procesador Intel alc...
-
Google se ha cansado de que Claude Code y Codex le...
-
Rufus 4.14 aumenta capacidad contra ‘Microslop’ y ...
-
Grupo no autorizado accede a la herramienta cibern...
-
WhatsApp lanza resúmenes con IA para que no tengas...
-
OpenAI estrena ChatGPT Images 2.0
-
NotebookLM mejora con la integración con Gemini
-
Lo que se vende de IA en la Dark Web (I) — LLMs si...
-
Xbox Game Pass baja de precio y elimina los futuro...
-
Confirmado: las bolsitas de té e infusiones pueden...
-
Fundación Linux se amplía y absorbe el software Op...
-
Fuga en una AIO de NZXT daña una ASUS RTX 5090 ROG...
-
Archiv.org, nuestra memoria digital, podría desapa...
-
12 extensiones de navegador que imitan descargador...
-
Linux 7.1 incluirá un nuevo driver para NTFS
-
Así funciona el escudo contra el ransomware oculto...
-
TotalRecall Reloaded encuentra que Windows Recuerd...
-
Casi la mitad de la música que se sube a Deezer ha...
-
En Europa a partir de de 2027 podrás cambiar la ba...
-
Falla en iTerm2 abusa de secuencias de escape SSH ...
-
Mustafa Suleyman, jefe de la IA de Microsoft: "Si ...
-
Quién es John Ternus, el nuevo CEO de Apple que su...
-
GitHub limita el uso de la IA para reducir costes
-
Exploit de prueba para fuga de hash NTLM en la her...
-
iPhone 11 Pro Max, iPhone 11 Pro, iPhone 11 y el i...
-
Presentado el Oppo Find X9 Ultra, un móvil de 1.69...
-
WhatsApp de pago empieza a desplegarse en Europa
-
La "Netflix china" quiere reemplazar a los humanos...
-
PC construido con LEGO parece un Mac retro… pero e...
-
Vulnerabilidad crítica de MCP de Anthropic permite...
-
La optimización de Valve para GPU con poca VRAM en...
-
Un telescopio equipado con 5.000 robots crea el ma...
-
LaLiga logra una multa histórica de 43 millones de...
-
Kimi, la IA china que supera a ChatGPT y Claude, l...
-
Biohacker afirma haber secuenciado su propio genom...
-
Los AMD Ryzen con 3D V-Cache también son los más r...
-
Usar modelos GGUF para lograr RCE en servidores de...
-
La crisis de la RAM no se acabará hasta 2027
-
Python se resiste a perder el trono y prepara una ...
-
Amazon invertirá hasta 25.000 millones de dólares ...
-
RedSun, UnDefend y BlueHammer, las vulnerabilidade...
-
Intel y fabricantes lanzan las memorias RAM HUDIMM...
-
Ni 900 ni 800, el prefijo 400 será obligatorio par...
-
Crean un adaptador PCIe a M.2 plano que nos permit...
-
Crean un "Museo Auditivo" interactivo en línea con...
-
Los reguladores supervisan a la IA Mythos de Anthr...
-
CISA advierte que el paquete npm Axios fue comprom...
-
LXQt 2.4: el escritorio ligero se actualiza con me...
-
WhatsApp empieza a probar su suscripción de pago
-
Ciudadano británico admite hackear empresas y roba...
-
Atacantes convierten QEMU en un sigiloso backdoor ...
-
AMD FSR Multi Frame Generation: lanzamiento inminente
-
Bjarne Stroustrup, padre de C++: "Solo hay dos tip...
-
Batacazo para Jeff Bezos: el cohete New Glenn de B...
-
Falla un HDD en garantía y el cliente se topa con ...
-
Vercel confirma un incidente tras la brecha de seg...
-
GitHub se convierte en objetivo de los sistemas an...
-
Desde noviembre de 2026 tendrás que devolver las b...
-
Microsoft trabaja para eliminar los elementos anti...
-
Apple retrasa los próximos Mac a causa de la escas...
-
La última actualización de Windows 11 está provoca...
-
La NSA confirma uso de Mythos de Anthropic pese a ...
-
La memoria RAM sube un 110% y los SSD un 147% en Q...
-
Las primeras «consolas portátiles» con los SoC Int...
-
HONOR WIN H9, el primer portátil con «pantalla 3D ...
-
El NIST adopta un modelo de NVD basado en riesgos ...
-
Google usa Gemini AI para frenar anuncios malicios...
-
CachyOS lanza un "super kernel" de Linux 7.0 con i...
-
Vulnerabilidad crítica en Flowise permite ejecució...
-
Toshiba se niega a reemplazar discos duros en gara...
-
Cisco publica actualizaciones críticas para correg...
-
Actualizar de Windows 10 a Windows 11 reduce el re...
-
Cómo saber si tu conexión la bloquea LaLiga
-
Galaxy S27 podría cambiarlo todo gracias a una bat...
-
Brecha de seguridad en Vercel
-
La memoria HUDIMM es una solución hasta superar la...
-
Microsoft implementará agentes de IA en la barra d...
-
Nuevas filtraciones señalan que los procesadores N...
-
SK Hynix lleva la LPDDR5X a los servidores de IA c...
-
Vercel confirma filtración de datos: accedieron a ...
-
Steve Jobs y Wozniak hicieron una llamada falsa al...
-
NVIDIA recorta hasta un 40% la producción de GPU g...
-
Encuentra 72 módulos de 32 GB de RAM nuevos en la ...
-
Intel Arc B390 frente a Radeon 890M y Radeon 8060s
-
Intel Nova Lake-S: memoria caché monumental para d...
-
Utilizan CVE-2024-3721 para infectar DVR de TBK co...
-
La RTX PRO 6000 Blackwell de 96 GB es tan rápida c...
-
GitHub Store es el la nueva tienda de aplicaciones...
-
Un robot humanoide chino supera el récord mundial ...
-
Valve se duerme con la Steam Machine y su competen...
-
Zhitai TiPlus 9100: el primer SSD PCIe 5.0 de alto...
-
GitHub se une a Anthropic, Google, Amazon (AWS) y ...
-
Cuidado si recibes un correo de cambio de cuenta d...
-
Trucos para no agotar los limites de uso de Claude
-
Microsoft mejora el Explorador de archivos de Wind...
-
Intel Core Ultra 400D y 400DX: CPUs con hasta 288 ...
-
-
▼
abril
(Total:
660
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
%20(1).jpg)
Microsoft ha publicado actualizaciones de seguridad urgentes para abordar una vulnerabilidad crítica en Windows Active Directory que permit... -
Jeyi lanza un adaptador PCIe a M.2 plano llamado AIC ArcherX que permite conectar un SSD M.2 en ranuras PCIe inferiores bloqueadas por GP... -
Un pequeño dispositivo pluggable de factor de forma (SFP) es un dispositivo de interfaz de red que cumple con un estándar, conectando equi...
Grupos de ransomware Qilin y Warlock adoptan BYOVD para tumbar más de 300 EDR desde el kernel
Los grupos de ciberamenazas Qilin y Warlock utilizan la técnica BYOVD para desactivar más de 300 herramientas EDR explotando vulnerabilidades en drivers a nivel kernel, combinando métodos como DLL sideloading y ataques a Microsoft SharePoint Server sin parchear.
- Qilin y Warlock están recurriendo a BYOVD (Bring Your Own Vulnerable Driver) para desactivar defensas a nivel kernel y dejar inoperativas más de 300 herramientas EDR. En Qilin destaca una cadena con DLL sideloading y un ‘EDR killer‘ en memoria, mientras que Warlock combina la técnica con explotación de Microsoft SharePoint Server sin parchear y un toolkit de post-compromiso orientado a persistencia, movimiento lateral y exfiltración.
La carrera entre atacantes y defensores se está desplazando cada vez más hacia el plano del kernel en Windows, donde muchos productos de seguridad basan parte de su visibilidad y capacidad de bloqueo. En ese contexto, el abuso de controladores legítimos pero vulnerables se consolida como un atajo eficaz para degradar o anular la telemetría y las protecciones, especialmente cuando el objetivo es impedir que un EDR detecte o frene acciones de post-explotación antes del cifrado.
En las intrusiones asociadas a Qilin, se ha observado una cadena por etapas que arranca con DLL sideloading mediante una biblioteca maliciosa denominada msimg32.dll. A partir de ahí se despliega un componente diseñado para sobrevivir a la inspección en modo usuario: incluye evasión basada en supresión de ETW (Event Tracing for Windows), neutralización de hooks en user mode y ofuscación del flujo de control para dificultar la instrumentación y el análisis. Un elemento especialmente relevante es que el payload principal, descrito como ‘EDR killer‘, se descifra y ejecuta completamente en memoria, reduciendo la huella en disco y complicando la respuesta basada únicamente en artefactos tradicionales.
El objetivo operativo de ese ‘EDR killer‘ es preparar el terreno para cargar controladores que permitan acciones agresivas desde el kernel. En primer lugar, se ha visto la carga de rwdrv.sys (identificado como un renombrado de ThrottleStop.sys) para habilitar acceso a memoria física y actuar como capa de interacción a bajo nivel. A continuación entra en juego hlpdrv.sys, empleado para terminar procesos vinculados a una lista amplia de controladores y componentes de seguridad: el alcance reportado supera los 300 drivers asociados a múltiples fabricantes de EDR. Antes de cargar el segundo driver, el componente malicioso realiza además operaciones para desregistrar callbacks de monitorización que suelen usar los EDR, reduciendo la probabilidad de que el producto de seguridad bloquee la terminación de procesos o detecte la manipulación.
Esta forma de BYOVD no aparece en el vacío: controladores como los anteriores ya se habían relacionado con campañas previas en las que la prioridad del atacante era desactivar defensas antes de ejecutar acciones ruidosas. En el caso de Qilin, el patrón encaja con una operativa de intrusión en la que el ransomware no necesariamente se ejecuta de inmediato, sino que se reserva para fases posteriores, cuando el atacante ya ha consolidado acceso y ha debilitado la detección.
Por su parte, Warlock también ha adoptado BYOVD como palanca para deshabilitar seguridad a nivel kernel, y lo combina con un vector de entrada asociado a Microsoft SharePoint Server sin parchear. En las campañas más recientes se ha observado el uso del driver legítimo pero vulnerable NSecKrnl.sys para terminar productos de seguridad, sustituyendo a otros controladores usados anteriormente. El conjunto de herramientas en el entorno comprometido refuerza la idea de una caja de herramientas madura para operaciones prolongadas: TightVNC para control persistente, PsExec para movimiento lateral, utilidades como RDP Patcher para habilitar sesiones concurrentes, Velociraptor como framework de C2, además de Visual Studio Code y Cloudflare Tunnel como mecanismos para operar y tunelizar tráfico. Para la fase de salida de datos, aparecen herramientas habituales como Rclone, junto con componentes tipo proxy/reverse proxy internos (por ejemplo Yuze) para pivotar dentro de la red.
La implicación defensiva es clara: confiar solo en detecciones en modo usuario es insuficiente cuando el adversario puede cargar un driver vulnerable para operar ‘por debajo’ del EDR. En entornos Windows resulta clave reforzar la gobernanza de drivers con políticas de allowlisting de editores explícitamente confiables, vigilar eventos de instalación/carga de controladores y generar alertas ante cargas anómalas (incluyendo nombres como rwdrv.sys, hlpdrv.sys o NSecKrnl.sys). A la vez, el patch management –especialmente en servidores expuestos como SharePoint— y la detección temprana de actividad de post-compromiso (antes de que llegue el cifrado) se vuelven determinantes. También conviene revisar el uso legítimo de herramientas dual-use como PsExec, Rclone o túneles tipo Cloudflare Tunnel y bloquearlas o condicionarlas cuando no exista una justificación operativa, porque su presencia suele indicar que el atacante ya está preparando el terreno para la fase final.
Más información
- Cisco Talos – Qilin EDR killer infection chain
https://blog.talosintelligence.com/qilin-edr-killer/ - The Hackers News – Qilin and Warlock Ransomware Use Vulnerable Drivers to Disable 300+ EDR Tools https://thehackernews.com/2026/04/qilin-and-warlock-ransomware-use.html
- SOC Defenders – Qilin and Warlock Ransomware Use Vulnerable Drivers to Disable 300+ EDR Tools
https://www.socdefenders.ai/item/d1205c45-ff0f-4be0-9469-c3bad960856a
Fuentes:
https://unaaldia.hispasec.com/2026/04/qilin-y-warlock-adoptan-byovd-para-tumbar-mas-de-300-edr-desde-el-kernel.html
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.