28 sept 2018

Malware que puede resistir un formateo e incluso un cambio de disco duro

Un rootkit UEFI es un tipo de malware que, en lugar de infectar el sistema operativo, infecta la UEFI de las computadoras (antes lo hacía con las BIOS). De esta manera, el malware pasa totalmente desapercibido en el sistema operativo (ya que los antivirus no suelen analizar la UEFI de los equipos) y, además, son capaces de resistir a un formateo del ordenador y a un cambio de disco duro.

Recientemente, investigadores de seguridad han encontrado un nuevo rootkit UEFI, llamado LoJax, que está infectando ordenadores y sistemas por todo el mundo. Este nuevo rootkit ha sido desarrollado por el grupo APT28, uno de los grupos de atacantes más peligrosos, responsable ya de varios ataques a grandes empresas.

Cómo funciona LoJax, el rootkit UEFI de APT28

Este nuevo malware fue detectado por primera vez el pasado mes de mayo, aunque hasta ahora no se ha podido saber mucha información sobre él. Este malware se ha tomado ya varias víctimas por toda Europa y, además, no se sabe exactamente cómo se distribuye a través de Internet.

El rootkit como tal cuenta con una serie de archivos binarios que, al ejecutarlos en el sistema operativo, son capaces de recopilar información sobre su hardware, volcar la UEFI, parchearla para ocultar el código malicioso y volver a escribir en ella, todo ello desde Windows.

Los equipos infectados están ya a total merced de los delincuentes informáticos, ya que es la propia UEFI quien infecta en tiempo real la memoria del sistema, con más privilegios de los del propio Windows, siendo imposible detectar la amenaza con medios convencionales.

Cómo protegernos de LoJax y de otros rootkit UEFI

La mejor forma de protegernos de este tipo de malware es activar en nuestro ordenador el Secure Boot. Esta medida de seguridad evitará que, aunque el malware como tal llegue a nuestro ordenador, este consiga escribir en la propia UEFI y ganar así su persistencia. Además, siempre debemos asegurarnos de estar utilizando la última versión de la BIOS/UEFI para nuestra placa base.

En caso de que ya estemos infectados por LoJax, la única manera de desinfectarnos es, o bien borrar por completo la BIOS/UEFI y volver a flashearla, o directamente cambiar la placa base. No hay más formas de acabar con este malware.

En un principio, este grupo de atacantes suele atacar a objetivos concretos, como a grandes empresas, por lo que lo más seguro es que los usuarios domésticos no tengamos de qué preocuparnos. Eso sí, no debemos confiarnos, ya que, aunque LoJax pueda no ser una amenaza ahora mismo, podría llegar a serlo en un futuro no muy lejano, incluso puede que otros grupos de delincuentes informáticos creen otras amenazas similares que sí estén enfocadas a usuarios domésticos, por lo que nunca está de más saber cómo defendernos.

Fuente: Red Zone

Suscríbete a nuestro Boletín

5 comentarios:

  1. Como saber si estamos infectados? Algunos BIOS traen proteccion de escritura, sera util? Muy bueno el articulo

    ResponderBorrar
  2. Gracias por el articulo pero les hago una pequeña corrección: la antigua BIOS de los ordenadores se denomina "Legacy" (Windows o inferior) a partir de windows 8 en adelante (equipos modernos) incorpora la mencionada "UEFI" con su secure boot.

    ResponderBorrar
  3. No hay "antigua BIOS", solo "BIOS", y en las placas de ahora dice "Legacy" haciendo referencia al soporte "hacia atrás" (legado). UEFI y BIOS son firmware o software de arranque, como quieran llamarlo

    ResponderBorrar
  4. Hola acá el problema va a ser como nos damos cuenta que nuestra BIOS está infectada ya q no tenemos manera de escanearla con algun ATV.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!