Información relevante sobre la más reciente amenaza del peligroso grupo de hackers
Recientemente han sido publicados los hallazgos de especialistas en forense digital sobre una nueva campaña de ciberataques lanzada por el reconocido grupo de hackers maliciosos llamado Sednit (también conocidos como Fancy Bear). La investigación ha concluido que este es el primer malware que infecta con éxito el componente de firmware de un dispositivo llamado UEFI (anteriormente conocido como BIOS), un componente central y crítico para el funcionamiento de una computadora.
Apodado “LoJax” por los expertos en forense digital que lo descubrieron, el malware es el primer rootkit UEFI encontrado en un ambiente real capaz de persistir en las computadoras de las víctimas. A continuación algunos puntos relevantes sobre esta amenaza:
- Se le ha llamado LoJax debido a que utiliza algunos componentes de LoJack
- LoJack es un software antirrobo instalado en algunas computadoras que le permite al usuario rastrear la ubicación del dispositivo. LoJack fue creado para funcionar incluso si el usuario reinstala Windows o intercambia el disco duro
- Se presume altamente probable que el malware LoJax haya sido desarrollado por el grupo de hackers Sednit (Fancy Bear)
¿Qué es UEFI?
Todas las computadoras utilizan uno de dos tipos de firmware UEFI (el más reciente) o BIOS (la versión más antigua). Esta es la pantalla negra que aparece antes de la pantalla del sistema operativo (ya sea Windows, macOS, Linux) y ayuda a decirle a una computadora cómo arrancar y acceder a otro hardware (como disco duro, unidad de DVD,) y está alojado dentro de la llamada memoria flash SPI.
Acorde a especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, el hecho de que LoJax infecte al UEFI significa que la infección no sólo puede persistir después de una reinstalación del sistema operativo, sino que también puede sobrevivir a un reemplazo de disco duro.
Una infección en el UEFI significa que el atacante tiene control total sobre el dispositivo. Además de que el equipo comprometido se encuentra bajo control del hacker, este puede comprometer otras computadoras en la red. Eso significa que cualquier información de la computadora o red a la que está conectada puede ser sustraída o secuestrada para uso del hacker.
Una primera medida de protección contra LoJax es actualizar su firmware UEFI/BIOS, de ser posible directamente con el proveedor, aun así, puede que muchos fabricantes no lancen parches de actualización para el firmware. También puede tratar de “reflashear” la memoria SPI, aunque este puede ser un proceso complejo y delicado, además de que varía para cada tarjeta madre. Puede consultar con el fabricante sobre las posibilidades de realizar con éxito esta operación en su dispositivo. Finalmente, puede reemplazar la tarjeta madre de la computadora. Dado que este componente es prácticamente el corazón de nuestros dispositivos, puede ser mejor conseguir una nueva pieza a reemplazar la computadora por completo.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
