Banda de ransomware RansomEXX explotó vulnerabilidad zero day en Windows

Escrito por / 22 de octubre de 2025 / Noticias Hacking y Seguridad Informática / Malware, Vulnerabilidad, Windows 11

Microsoft ha revelado que el grupo de ransomware RansomEXX ha estado explotando activamente una vulnerabilidad zero-day de alta gravedad en el subsistema Common Log File System (CLFS) de Windows para obtener privilegios SYSTEM en los sistemas comprometidos.

La vulnerabilidad, identificada como CVE-2025-29824, fue corregida durante el Patch Tuesday de abril y, según Microsoft, solo ha sido utilizada en un número limitado de ataques dirigidos.

Detalles técnicos del CVE-2025-29824

Esta falla se debe a una vulnerabilidad de tipo use-after-free que permite a atacantes locales con bajos privilegios elevarse a privilegios SYSTEM mediante ataques de baja complejidad y sin necesidad de interacción del usuario.

Aunque ya se han lanzado parches para las versiones afectadas de Windows, Microsoft ha pospuesto la actualización para sistemas que ejecutan Windows 10 LTSB 2015, indicando que estarán disponibles tan pronto como sea posible.

Objetivos del ataque

Los atacantes han apuntado a organizaciones en sectores clave, incluyendo:

  • Sector de tecnologías de la información (TI) y bienes raíces en Estados Unidos
  • Sector financiero en Venezuela
  • Empresa de software en España
  • Sector retail en Arabia Saudita

Microsoft también indicó que los dispositivos con Windows 11 versión 24H2 no han sido afectados, aunque la vulnerabilidad estaba presente. Se recomienda aplicar las actualizaciones inmediatamente.

Ataques con PipeMagic y despliegue de ransomware

El grupo RansomEXX, también identificado por Microsoft como Storm-2460, utilizó inicialmente el malware de puerta trasera PipeMagic en los sistemas comprometidos.

A través de este malware se desplegaron:

  • El exploit de CVE-2025-29824
  • Carga útil del ransomware
  • Notas de rescate (!READ_ME_REXX2!.txt) después de cifrar los archivos

Las notas de rescate fueron descubiertas por BleepingComputer.

Historia del malware PipeMagic ️‍♀️

Según ESET, desde marzo de 2023, PipeMagic también ha sido usado para explotar otro zero-day del subsistema Kernel de Windows (CVE-2025-24983).

Descubierto por Kaspersky en 2022, PipeMagic puede:

  • Robar datos sensibles
  • Permitir acceso remoto total
  • Desplegar cargas adicionales para moverse lateralmente en redes

Este backdoor fue observado por Kaspersky en investigaciones sobre ataques del ransomware Nokoyawa, los cuales también explotaron otra vulnerabilidad zero-day en el CLFS Driver (CVE-2023-28252).

¿Quiénes son RansomEXX?

Esta operación comenzó como Defray en 2018, pero fue rebautizada como RansomEXX en 2020, volviéndose mucho más activa desde entonces.

Entre sus víctimas más conocidas se encuentran:

  • GIGABYTE
  • Konica Minolta
  • Departamento de Transporte de Texas (TxDOT)
  • Sistema Judicial de Brasil
  • Transporte Público de Montreal (STM)
  • Tyler Technologies (software gubernamental)

Recomendación final

Si aún no lo has hecho, aplica las actualizaciones de seguridad de abril 2025 para proteger tus sistemas de este tipo de ataques sofisticados.

Vistas: 0

🔥 LO MÁS VISTO DE ESTA CATEGORÍA