Ransomware Qilin y Warlock deshabilitan EDR con controladores vulnerables (BYOVD)
Los ransomware Qilin y Warlock utilizan controladores vulnerables para deshabilitar más de 300 herramientas de protección
Autor: Ravie Lakshmanan | 6 de abril de 2026 | Categoría: Ransomware / Seguridad de endpoints
Los ransomware Qilin y Warlock deshabilitan EDR mediante una técnica llamada BYOVD («trae tu propio controlador vulnerable»). Así lo revelan informes de Cisco Talos y Trend Micro. Los atacantes silencian las herramientas de seguridad que se ejecutan en equipos comprometidos.
¿Cómo el ransomware Qilin desactiva más de 300 EDR?
Los ataques de Qilin analizados por Talos usan una DLL maliciosa: «msimg32.dll». Esta inicia una cadena de infección en múltiples etapas. Su objetivo es deshabilitar soluciones de detección y respuesta en endpoints (EDR).
La DLL se lanza mediante DLL side-loading. Es capaz de terminar más de 300 controladores EDR. Afecta a casi todos los proveedores de seguridad del mercado.
Mecanismo de ataque de Qilin
Primera etapa: un cargador de PE (Portable Executable) prepara el entorno para el destructor de EDR. La carga útil secundaria va incrustada dentro del cargador, en forma cifrada.
El cargador de DLL implementa varias técnicas para evadir la detección:
- Neutraliza los ganchos en modo usuario.
- Suprime los registros de eventos de Event Tracing for Windows (ETW).
- Oculta el flujo de control y los patrones de invocación de API.
Así, permite que la carga útil principal (destructora de EDR) sea descifrada, cargada y ejecutada enteramente en memoria. No deja rastros.
Controladores usados por Qilin
Una vez lanzado el ransomware Qilin y Warlock deshabilitan EDR mediante dos controladores específicos:
- rwdrv.sys – Versión renombrada de «ThrottleStop.sys». Se usa para acceder a la memoria física del sistema. Actúa como capa de acceso al hardware en modo kernel.
- hlpdrv.sys – Termina procesos asociados con más de 300 controladores EDR distintos.
Ambos controladores ya se habían utilizado en ataques BYOVD junto a los ransomware Akira y Makop.
Impacto y comportamiento de Qilin
Según estadísticas de CYFIRMA y Cynet, Qilin es el grupo de ransomware más activo de los últimos meses. En 2025, fue responsable de 22 de los 134 incidentes reportados en Japón. Eso representa el 16,4% del total.
Qilin obtiene acceso inicial mediante credenciales robadas. Tras comprometer el entorno, el grupo realiza numerosas actividades posteriores al compromiso. Esto le permite expandir su control de forma metódica y maximizar el impacto. La ejecución del ransomware ocurre, en promedio, seis días después del compromiso inicial.
El grupo Warlock y sus herramientas
El grupo ransomware Warlock (también conocido como Water Manaul) sigue explotando servidores Microsoft SharePoint sin parche. Ha actualizado su conjunto de herramientas para mejorar persistencia, movimiento lateral y evasión de defensas.
Entre sus novedades:
- TightVNC para control persistente.
- NSecKrnl.sys – Un controlador NSec legítimo pero vulnerable. Lo usan en un ataque BYOVD para terminar productos de seguridad a nivel del kernel.
En el ataque de Warlock de enero de 2026 también se observaron estas herramientas:
| Herramienta | Propósito |
|---|---|
| PsExec | Movimiento lateral |
| RDP Patcher | Facilitar sesiones RDP simultáneas |
| Velociraptor | Mando y control (C2) |
| Visual Studio Code + Cloudflare Tunnel | Tunelizar comunicaciones C2 |
| Yuze | Penetración en intranet y proxy inverso (HTTP/HTTPS/DNS) |
| Rclone | Exfiltración de datos |
Recomendaciones de defensa contra BYOVD
Para contrarrestar ataques donde el ransomware Qilin y Warlock deshabilitan EDR, sigue estas buenas prácticas:
- Permitir solo controladores firmados por editores explícitamente confiables.
- Supervisar los eventos de instalación de controladores.
- Mantener un riguroso programa de gestión de parches. Actualiza especialmente el software de seguridad con componentes basados en controladores.
La dependencia de Warlock en controladores vulnerables requiere una defensa de múltiples capas. El foco debe estar en la integridad del kernel. Las organizaciones deben pasar de la protección básica de endpoints a una gobernanza estricta de controladores. También necesitan supervisión en tiempo real de las actividades a nivel del kernel.
Ya hemos referido otros casos de ransomware. Se trata de ataques muy peligrosos para tus datos, por lo que deberías prestar atención especial a este tema.
