TrickBot aprovecha vulnerabilidades de la UEFI para controlar sistemas
TrickBot es un malware muy peculiar, ya que se aprovecha de las vulnerabilidades de la UEFI para adueñarse del sistema de arranque de nuestros ordenadores. Eso es según los investigadores de Eclypsium and Advanced Intelligence (AdvIntel), quienes han descrito los desarrollos, denominados Trickboot, como un riesgo crítico para la seguridad organizacional y nacional. Se ha observado ampliamente que TrickBot trabaja en conjunto con Emotet para propagar Ryuk ransomware.
Aquí se puede conocer si una IP está infectada con TrickBot
Trickboot es especialmente peligroso porque, al igual que con ataques
similares, subvertir el proceso de arranque permite a los atacantes obtener el
control sobre el sistema operativo del sistema y establecer una persistencia
continua.
Pero, ¿qué es UEFI?
UEFI- Interfaz de firmware extensible unificada- es el primer programa que se
ejecuta cuando encendemos nuestras computadoras. Su función es gestionar las
configuraciones básicas y avanzadas de nuestro sistema. Esquema promovido por
compañías como Intel, AMD, Microsoft y otras, para
"superar limitaciones de la BIOS".
Como puedes observar, es
un factor esencial en el arranque de nuestros equipos. ¿Qué sucede aquí? Como
ya mencionamos, piratas informáticos se están aprovechando de las debilidades
de esta interfaz para tomar control de nuestra máquina.
TrickBot persiste luego de la reinstación del sistema operativo
Algunas veces cuando nos enfrentamos a esta clase de malwares, como última
opción terminamos formateando nuestras computadoras. Pero, TrickBot se
presenta un gran problema, ya que persiste luego de la reintalación del
sistema operativo. Incluso que reemplacemos unidades de almacenamiento
interno, un disco duro, por ejemplo.
TrickBot explora el equipo
hasta encontrar debilidades en el firmware UEFI, para leer, escribir y hasta
borrarlo. Asimismo, han informado que los ataques se dirigen a plataformas
Intel. El informe indica que TrickBoot realiza consultas PCH para conocer el
modelo que se ejecuta en el sistema bajo ataque, de modo de saber a qué
plataforma se enfrenta.
De igual modo, el estudio muestra que este software usa fwexpl, herramienta de explotación de firmware, para leer y escribir datos de puertos IO de hardware y en las direcciones de memoria física.
El malware TrickBot ahora tiene una funcionalidad diseñada para inspeccionar el firmware UEFI / BIOS de los sistemas de destino. Esto marca un paso significativo en la evolución de TrickBot. Las amenazas a nivel de firmware tienen una importancia estratégica única para los atacantes.
Está claro que TrickBot se beneficiará enormemente al incluir un kit de arranque de nivel UEFI en su cadena de eliminación. Sobrevivirían a los esfuerzos de reinstalar el sistema durante la fase de recuperación de un evento de ransomware Ryuk o Conti, y mejorarían su capacidad para bloquear un dispositivo de forma semipermanente.
Esto proporciona a los actores criminales aún más influencia durante la negociación del rescate, y el grupo TrickBot ya es conocido por ser negociadores de línea dura. Dado que el marco de instalación de malware AchorDNS del grupo TrickBot ha sido utilizado por algunos de los actores criminales, rusos y norcoreanos más notorios para atacar la atención médica, las finanzas, las telecomunicaciones, la educación y la infraestructura crítica, consideramos que este desarrollo es de vital importancia para empresas y seguridad nacional.
Los adversarios que aprovechan TrickBot ahora tienen un medio automatizado para saber cuáles de sus últimos hosts de víctimas son vulnerables a las vulnerabilidades de UEFI, al igual que lo hicieron a partir de 2017 para aprovechar las vulnerabilidades de EternalBlue y EternalRomance para las capacidades de desparasitación. Los equipos de seguridad deben actuar de inmediato para mitigar este riesgo.
Los siguientes gráficos muestran los últimos dos meses de infecciones activas por TrickBot, alcanzando un máximo de 40.000 en un solo día. Conseguir una huella no es un desafío para los operadores de TrickBot. Determinar qué víctimas son objetivos de alto valor y persistir en esos entornos para volver a atacarlos más tarde define una gran parte del conjunto de herramientas de TrickBot y enmarca la importancia de este descubrimiento.
Prevención
Los investigadores recomiendan utilizar un "dispositivo de programación flash
SPI" para leer el contenido de chip de memoria SPI, siempre y cuando el
sistema esté apagado. Asimismo, aconsejan usar herramientas de código abierto
para analizar nuestros equipos y determinar si la protección contra escritura
del BIOS está habilitada o no. Aunado a ello, sugieren actualizar el firmware
de nuestros equipos.
Sin embargo, son acciones que deben ejecutarse
por un profesional debido a la complejidad del asunto. Inclusive, Jesse
Michael, investigador principal de Eclypsium expresa que "determinar si un
sistema se ha visto comprometido a nivel de firmware UEFI es un trabajo
difícil".
Para desgracia de las víctimas, aun después de pagar un
rescate por la liberación del sistema, TrickBot puede seguir operando
meticulosamente en sus máquinas. Además, no trabaja solo, tiene conexión con
otros ciberdelicuentes, con los cuales puede llegar a compartir información
valiosa.
Aquí se puede conocer si una IP está infectada con TrickBot
Fuente: Advanced-Intel
Muy intersante..
ResponderBorrar