Los usuarios de controladores desarrollados por la compañía taiwanesa GIGABYTE contienen una vulnerabilidad que está siendo explotada por grupos de actores de amenazas para infectar las computadoras atacadas con la variante de ransomware conocida como RobbinHood, mencionan especialistas en seguridad en redes.

Además, al atacar estos controladores de hardware legítimos los hackers también son capaces de eliminar las herramientas de seguridad (antivirus) de los sistemas infectados para posteriormente cifrar los archivos.

El ataque se completa insertando
un segundo controlador malicioso en el sistema comprometido después de
inhabilitar la aplicación de la firma del controlador legítimo, lo que requiere
el cambio de un solo byte en el kernel. Acorde a los expertos en seguridad en
redes, estos controladores de hardware permiten al sistema operativo
comunicarse con un dispositivo determinado. El controlador objetivo de este
ataque fue distribuido con placas base y tarjetas gráficas de GYGABYTE antes de
dejar de funcionar, a inicios de 2019.

Este es el método de ataque más
reciente e innovador mostrado por los hackers, además es una alerta de
seguridad para los investigadores y administradores de sistemas, pues es una
forma realmente funcional de evadir hasta la más compleja herramienta de
seguridad endpoint: “Esta variante de ataque incluso puede eliminar las
medidas de protección en los sistemas Windows
completamente actualizados y sin vulnerabilidades conocidas”, asegura Mark
Loman, especialista en seguridad en redes de Sophos.

La vulnerabilidad explotada en el
controlador (CVE-2018-19320) es una escalada de privilegios y permite la
lectura y escritura arbitraria en la memoria del sistema. La explotación del esta
falla permite la inhabilitación temporal de la firma del controlador en los
sistemas Windows. Después de inhabilitar la firma, RobbinHood carga el segundo
controlador en el sistema atacado.    

Acorde a Loman, esta es la
primera vez que un equipo de investigación de Sophos trabaja con una variante
de ransomware que contiene su propio controlador de terceros con una firma
legítima para comprometer un software de seguridad: “Eliminar
completamente las protecciones permite la libre instalación de cualquier variante
de malware y ejecutarla sin contratiempos”, concluye el experto.   

El Instituto Internacional de
Seguridad Cibernética (IICS) menciona que el ransomware sigue siendo la
principal amenaza para los usuarios de equipos de cómputo. La tendencia en el
uso de este malware incrementó considerablemente durante 2019, y los primeros
días de 2020 parecen augurar un comportamiento similar.





Source link

You must be logged in to post a comment.