Ransomware Crypto24 Ataca Grandes Empresas con Evasión EDR Avanzada
Eduardo Morales 08/14/2025 Ciberseguridad, Malware, Ciberataque
5 Minutos

El grupo de ransomware conocido como Crypto24 ha estado ganando terreno con una estrategia bastante preocupante: el uso de herramientas personalizadas para evadir soluciones de seguridad, robar información sensible y cifrar archivos en redes comprometidas.

Aunque su actividad comenzó a hacerse notar en comunidades en línea desde septiembre de 2024, Crypto24 se mantuvo bajo el radar durante un buen tiempo. Sin embargo, eso ha cambiado recientemente, ya que varios expertos en ciberseguridad han identificado una clara escalada en sus operaciones.

Investigadores de Trend Micro que siguen de cerca el comportamiento de este grupo han confirmado que sus objetivos no son menores. Crypto24 ha apuntado a grandes organizaciones en Estados Unidos, Europa y Asia, centrándose principalmente en empresas de alto perfil en sectores como finanzas, manufactura, entretenimiento y tecnología.

Lo que más llama la atención es el nivel de sofisticación técnica que muestran. Los analistas creen que los miembros detrás de Crypto24 tienen una gran experiencia en el mundo del cibercrimen, posiblemente exintegrantes de otros grupos de ransomware ya inactivos.

Eso explicaría su capacidad para moverse con sigilo dentro de redes protegidas y aplicar tácticas avanzadas de evasión, especialmente contra sistemas EDR (Endpoint Detection and Response).

En resumen, estamos ante un actor de amenazas bien organizado, con conocimientos profundos del entorno empresarial y una clara orientación a atacar objetivos que puedan pagar grandes rescates.

 

¿Qué hacen los atacantes de Crypto24 después de entrar?

 

Una vez que los hackers de Crypto24 logran acceder a una red, no pierden el tiempo. Lo primero que hacen es activar cuentas administrativas predeterminadas en sistemas Windows o, en algunos casos, crean nuevas cuentas locales. Todo esto lo hacen de forma silenciosa, con el objetivo de mantener acceso persistente sin levantar sospechas.

Luego viene una etapa de reconocimiento bastante meticulosa. Utilizan un script por lotes personalizado junto con comandos específicos para recolectar información del sistema, como las cuentas existentes, el hardware instalado y cómo está estructurado el disco. Este paso les permite tener una imagen clara del entorno que van a comprometer.

Con esa información en mano, pasan a establecerse de forma más permanente. Para ello, crean servicios maliciosos de Windows y programan tareas automáticas que les permiten ejecutar sus herramientas sin intervención manual.

Entre los servicios que despliegan, destacan dos:

 

  1. WinMainSvc, que funciona como un keylogger para capturar todo lo que se escribe en el sistema.

  2. MSRuntime, que actúa como cargador del ransomware, preparando el terreno para el cifrado final.

 

Todo esto sucede sin alertar a los usuarios, y muchas veces sin que las soluciones de seguridad tradicionales lo detecten. Es un enfoque silencioso, pero muy eficaz, que demuestra el nivel de planificación detrás de Crypto24.

 

priv-esc

Comandos y procesos utilizados para escalar privilegios (Fuente: Trend Micro)

 

¿Cómo evaden los sistemas de seguridad? El arma secreta de Crypto24

 

Después de ganar acceso a una red corporativa, los atacantes detrás de Crypto24 no se conforman con moverse en silencio: también se aseguran de eliminar cualquier obstáculo que pueda detectar sus movimientos.

Para lograrlo, utilizan una versión modificada de RealBlindingEDR, una herramienta de código abierto diseñada originalmente para fines de prueba de seguridad, pero que aquí ha sido adaptada con intenciones claramente maliciosas.

Esta variante personalizada está programada para apuntar directamente a soluciones de seguridad de múltiples proveedores. Lo hace desactivando los controladores a nivel de kernel, que son piezas fundamentales de los sistemas de detección más avanzados.

Entre los productos que puede desactivar están:

 

  1. Trend Micro

  2. Kaspersky

  3. Sophos

  4. SentinelOne

  5. Malwarebytes

  6. Cynet

  7. McAfee

  8. Bitdefender

  9. Broadcom (Symantec)

  10. Cisco

  11. Fortinet

  12. Acronis

 

Lo que hace esta herramienta es bastante ingenioso: extrae el nombre del proveedor desde los metadatos del controlador instalado en el sistema y lo compara con una lista que lleva en su interior. Si encuentra una coincidencia, simplemente desactiva los mecanismos de monitoreo que esas soluciones utilizan para detectar actividades sospechosas.

 

Ataques dirigidos a Trend Micro

 

En el caso específico de Trend Micro, el ataque va un paso más allá. Si los hackers tienen acceso con privilegios de administrador (algo común en las fases avanzadas del ataque), ejecutan un script por lotes que desinstala la solución de seguridad Trend Vision One usando una herramienta legítima: XBCUninstaller.exe.

Según los investigadores, esta acción se ejecutó a través de gpscript.exe, aprovechando una herramienta oficial diseñada originalmente para resolver problemas dentro del ecosistema de Trend Vision One, como la desincronización de agentes.

En otras palabras, usan las propias herramientas de la empresa contra ella, algo cada vez más común en ciberataques avanzados. Esto no solo elimina la protección, sino que además lo hace sin levantar sospechas inmediatas.

 

Así se aseguran de no ser detectados

 

Con los sistemas de seguridad fuera del camino, Crypto24 lanza sus cargas útiles personalizadas sin restricciones.

 

  1. WinMainSvc.dll: Un keylogger disfrazado como "Administrador de ayuda de Microsoft". Este malware registra todo lo que el usuario escribe, incluyendo pulsaciones de teclas, nombres de ventanas activas, y teclas modificadoras como Ctrl, Alt o Shift.

  2. MSRuntime.dll: Es la carga útil del ransomware en sí, diseñada para cifrar los archivos en la red una vez que todo está listo.

 

Antes de cifrar los archivos, eliminan las instantáneas de volumen de Windows, lo que impide restaurar el sistema fácilmente a un estado anterior. Esto fuerza a las víctimas a considerar el pago del rescate si no tienen copias de seguridad externas o desconectadas.

 

Podría interesarte leer: Principales Actores de Ransomware del Primer Semestre de 2025

 

Movimiento lateral y filtración de datos

 

Crypto24 también demuestra su sofisticación al moverse dentro de las redes comprometidas y extraer datos sin ser detectado.

Para moverse entre equipos dentro de la misma red, los atacantes aprovechan recursos compartidos SMB, una técnica clásica pero aún muy efectiva para el movimiento lateral.

Además, utilizan archivos temporales y almacenamiento intermedio para guardar los datos robados antes de filtrarlos hacia el exterior. Pero aquí también hay una sorpresa: no usan servicios oscuros ni canales cifrados complejos. En su lugar, suben los datos a Google Drive usando una herramienta hecha a medida que aprovecha la API de WinINET para comunicarse con la nube de Google como si fuera un usuario legítimo.

Esto hace que el tráfico de salida se vea "normal" para muchos sistemas de monitoreo, lo que permite que el robo de datos pase desapercibido hasta que ya es demasiado tarde.

 

figure

Descripción general de un ataque Crypto24 (Fuente: Trend Micro)

 

Trend Micro guarda silencio sobre detalles del ransomware

 

Aunque Trend Micro ha compartido información clave sobre el funcionamiento técnico del ataque, no ha revelado detalles específicos sobre la parte del ransomware en sí. Por ahora, no se conocen datos sobre el algoritmo de cifrado que usa Crypto24, el contenido de las notas de rescate, los canales de comunicación con las víctimas, rutas de archivos cifrados, el idioma utilizado o si hay elementos que delaten alguna “marca” del grupo atacante.

Sin embargo, la buena noticia es que al final de su análisis, Trend Micro incluyó una lista de indicadores de compromiso (IoCs) que puede ser muy útil para que otros equipos de seguridad detecten y bloqueen los ataques de Crypto24 antes de que sea demasiado tarde.

Estos indicadores permiten identificar señales tempranas de actividad maliciosa dentro de una red, lo que da a los defensores una valiosa oportunidad para actuar antes de que el ransomware cause daños graves.

 

En resumen: un ataque quirúrgico, personalizado y muy difícil de detener

 

Crypto24 no es un ransomware genérico más. Este grupo muestra una planificación meticulosa en cada paso:

 

  1. Desactivan los sistemas de seguridad sin generar alertas.

  2. Utilizan herramientas legítimas para borrar su rastro.

  3. Instalan cargas maliciosas personalizadas difíciles de detectar.

  4. Se mueven con agilidad dentro de las redes comprometidas.

  5. Extraen información sensible y la filtran usando servicios públicos de forma encubierta.

  6. Y finalmente, cifran los archivos sin dejar opciones de recuperación fáciles.

 

Todo esto apunta a una operación bien organizada, probablemente llevada a cabo por actores con experiencia previa en otras campañas de ransomware. Si algo está claro, es que la defensa tradicional ya no es suficiente.


¿Qué puedes hacer como empresa?

 

Ante este tipo de amenazas avanzadas, es fundamental adoptar un enfoque de seguridad proactivo y multicapa. Algunas recomendaciones clave:

 

  1. Asegúrate de tener copias de seguridad desconectadas y actualizadas.

  2. Implementa un sistema de detección de amenazas con capacidad para monitorear el comportamiento, no solo firmas conocidas.

  3. Limita los privilegios de administrador y segmenta la red para reducir el movimiento lateral.

  4. Supervisa el tráfico saliente hacia servicios en la nube, incluso los legítimos como Google Drive.

  5. Y por supuesto, mantén a tu equipo de IT capacitado y actualizado frente a nuevas técnicas de ataque.

Además, contar con un Centro de Operaciones de Seguridad (SOC) como el de TecnetOne puede marcar la diferencia. Nuestro SOC integra tecnologías de vanguardia como:

 

  1. XDR (Extended Detection and Response) para una visión unificada de amenazas en todos los endpoints, redes y sistemas.

  2. SIEM (Security Information and Event Management) que centraliza y correlaciona eventos de seguridad en tiempo real.

  3. XTI (Extended Threat Intelligence) que permite anticiparse a ataques mediante inteligencia contextualizada y accionable.

 

Con estas capacidades, nuestro SOC de TecnetOne no solo detecta amenazas más rápido, sino que también responde de forma efectiva antes de que se conviertan en incidentes críticos. Es una capa de protección esencial para cualquier organización que quiera mantenerse un paso adelante frente a ataques como los de Crypto24.

 

Suscribirse al SoC as a Service

Tag:

Ciberseguridad Malware Ciberataque

¿Por qué la Deep Web es clave para la inteligencia de amenazas?

Artículo Anterior
  • No hay sugerencias porque el campo de búsqueda está vacío.

Categorías

Artículos más leídos

Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
Descubriendo los canales en Telegram de la Dark Web
Alexander Chapellin 02/26/2025 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje, Malware, Ciberataque
10 Principales Grupos y Canales de Telegram en la Dark Web
Gustavo Sánchez 04/01/2024 Microsoft Office 365, Microsoft, CoPilot
Guía para Activar y Usar Copilot en Word Eficazmente
Alexander Chapellin 03/27/2024 Ciberseguridad, Riesgos informaticos
Top 5 de Foros Rusos en la Dark Web

Artículos Relacionados

Ciberseguridad, Malware, Ciberataque
Adan Cuevas 08/13/2025

Principales Actores de Ransomware del Primer Semestre de 2025

Si algo nos dejó claro la primera mitad de 2025, es que el ransomware no solo sigue vivo: está más

Leer más
Malware, Ciberataque
Jonathan Montoya 08/13/2025

Alianza Letal de Hackers: ShinyHunters y Scattered Spider Atacan

Las alianzas entre grupos de hackers no son nuevas, pero cuando dos de los más activos y peligrosos

Leer más
Malware, Ciberataque
Adrian León 08/13/2025

Docker Hub Aún Aloja Docenas de Imágenes Linux con Puerta Trasera XZ

En marzo de 2024 se descubrió una de las puertas traseras más peligrosas en el ecosistema Linux: la

Leer más