Los usuarios de controladores desarrollados por la compañía taiwanesa GIGABYTE contienen una vulnerabilidad que está siendo explotada por grupos de actores de amenazas para infectar las computadoras atacadas con la variante de ransomware conocida como RobbinHood, mencionan especialistas en seguridad en redes.
Además, al atacar estos controladores de hardware legítimos los hackers también son capaces de eliminar las herramientas de seguridad (antivirus) de los sistemas infectados para posteriormente cifrar los archivos.
El ataque se completa insertando un segundo controlador malicioso en el sistema comprometido después de inhabilitar la aplicación de la firma del controlador legítimo, lo que requiere el cambio de un solo byte en el kernel. Acorde a los expertos en seguridad en redes, estos controladores de hardware permiten al sistema operativo comunicarse con un dispositivo determinado. El controlador objetivo de este ataque fue distribuido con placas base y tarjetas gráficas de GYGABYTE antes de dejar de funcionar, a inicios de 2019.
Este es el método de ataque más reciente e innovador mostrado por los hackers, además es una alerta de seguridad para los investigadores y administradores de sistemas, pues es una forma realmente funcional de evadir hasta la más compleja herramienta de seguridad endpoint: “Esta variante de ataque incluso puede eliminar las medidas de protección en los sistemas Windows completamente actualizados y sin vulnerabilidades conocidas”, asegura Mark Loman, especialista en seguridad en redes de Sophos.
La vulnerabilidad explotada en el controlador (CVE-2018-19320) es una escalada de privilegios y permite la lectura y escritura arbitraria en la memoria del sistema. La explotación del esta falla permite la inhabilitación temporal de la firma del controlador en los sistemas Windows. Después de inhabilitar la firma, RobbinHood carga el segundo controlador en el sistema atacado.
Acorde a Loman, esta es la primera vez que un equipo de investigación de Sophos trabaja con una variante de ransomware que contiene su propio controlador de terceros con una firma legítima para comprometer un software de seguridad: “Eliminar completamente las protecciones permite la libre instalación de cualquier variante de malware y ejecutarla sin contratiempos”, concluye el experto.
El Instituto Internacional de Seguridad Cibernética (IICS) menciona que el ransomware sigue siendo la principal amenaza para los usuarios de equipos de cómputo. La tendencia en el uso de este malware incrementó considerablemente durante 2019, y los primeros días de 2020 parecen augurar un comportamiento similar.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
