Los piratas informáticos han encontrado una forma de atacar que nunca esperarías
Una falla de seguridad ha permitido que una pandilla de ransomware evite de manera efectiva que los programas antivirus se ejecuten correctamente en un sistema.
Como informado por Bleeping Computerel grupo de ransomware BlackByte está utilizando un método recientemente descubierto relacionado con el controlador RTCore64.sys para eludir más de 1000 controladores legítimos.
Por lo tanto, los programas de seguridad que se basan en dichos controladores no pueden detectar una infracción, y los investigadores etiquetan la técnica como «Traiga su propio controlador».
Una vez que los piratas informáticos han apagado los controladores, pueden operar bajo el radar debido a la falta de detección y respuesta de múltiples puntos finales (EDR). Los controladores vulnerables pueden pasar una inspección a través de un certificado válido y también cuentan con altos privilegios en la propia PC.
Investigadores de la empresa de ciberseguridad Sophos detalle cómo el controlador de gráficos MSI que es el objetivo de la banda de ransomware ofrece códigos de control de E/S a los que se puede acceder a través de procesos en modo de usuario. Sin embargo, este elemento infringe las pautas de seguridad de Microsoft sobre el acceso a la memoria del kernel.
Debido al exploit, los actores de amenazas pueden leer, escribir o ejecutar código libremente dentro de la memoria del kernel de un sistema.
BlackByte está naturalmente interesado en evitar ser detectado para que los investigadores no analicen sus hacks, afirmó Sophos: la compañía señaló que los atacantes buscan cualquier depurador que se esté ejecutando en el sistema y luego se retiran.
Además, el malware del grupo escanea el sistema en busca de archivos DLL potencialmente enganchados conectados a Avast, Sandboxie, Windows DbgHelp Library y Comodo Internet Security. Si se encuentra alguno en la búsqueda, BlackByte desactiva su capacidad de funcionamiento.
Debido a la naturaleza sofisticada de la técnica utilizada por los actores de amenazas, Sophos advirtió que continuarán explotando los controladores legítimos para eludir los productos de seguridad. Anteriormente, el grupo de piratas informáticos norcoreano Lazarus utilizó el método «Trae tu propio controlador», que involucraba un controlador de hardware de Dell.
Bleeping Computer destaca cómo los administradores de sistemas pueden proteger sus PC colocando el controlador MSI (RTCore64.sys) que está siendo seleccionado en una lista de bloqueo activa.
Los esfuerzos de ransomware de BlackByte salieron a la luz por primera vez en 2021, y el FBI enfatizó que el grupo de piratería estaba detrás de ciertos ataques cibernéticos contra el gobierno.
Recomendaciones de los editores