Una importante pandilla de ransomware está utilizando una nueva técnica letal. Y lo es porque hace que los ataques pasen por alto la detección de los productos de seguridad. Gracias a que explota una vulnerabilidad en más de 1.000 controladores utilizados en el software antivirus.

Por fortuna, dicha técnica ha sido detallada por investigadores de seguridad cibernética de Sophos. Grupo de investigación que la ha visto en ataques de la banda de ransomware BlackByte.

BlackByte es una banda relativamente nueva. Sin embargo, y pese a su poco tiempo, ha hecho ataques letales contra la infraestructura crítica y otros objetivos de alto perfil, hecho que llevó al FBI a emitir una advertencia sobre el grupo.

¿Qué más se sabe sobre esta nueva técnica de ransomware?

Hoy en día, la pandilla de ransomware BlackByte parece estar usando CVE-2019-16098, una vulnerabilidad en RTCorec64.sys. Pero, ¿qué es todo esto? Digamos que se trata de un controlador de utilidad de gráficos para sistemas Windows. Este controlador se utiliza legítimamente para el overclocking. pues proporciona un mayor control sobre la tarjeta gráfica.

Pero, al explotar la vulnerabilidad, los atacantes lograron obtener acceso a una cuenta de usuario autenticada que puede leer y escribir en una memoria arbitraria. Todo esto podría aprovecharse para escalar privilegios, ejecutar código o acceder a información.

Los investigadores describen esto como «Trae tu propio conductor». Y lo peor es que les permite a los atacantes eludir más de 1.000 controladores utilizados por los softwares de seguridad.

¿Cómo se logra aplicar esta técnica?

teclado con luces
Vía Unsplash

Esta nueva técnica de ransomware se logra al explotar la vulnerabilidad para comunicarse directamente con el kernel del sistema de destino. Y al decirle que desactive las rutinas utilizadas en el software antivirus, así como ETW (Seguimiento de eventos para Windows).

De acuerdo con Christopher Budd, gerente senior de investigación de amenazas en Sophos: «Si piensa en las computadoras como una fortaleza, para muchos proveedores de EDR, ETW es el guardia en la puerta de entrada. Si el guardia baja, el resto del sistema queda extremadamente vulnerable. Y, debido a que ETW es utilizado por tantos diferentes proveedores, el grupo de objetivos potenciales de BlackByte para implementar este desvío de EDR es enorme».

¿Qué consigue BlackByte al abusar de esta vulnerabilidad? Pues, puede conseguir los privilegios necesarios para acceder silenciosamente a los sistemas. Y mucho antes de desencadenar un ataque de ransomware y exigir el pago de un rescate por la clave de descifrado. BlackByte, como otros grupos de hackers, también roba datos de las víctimas y amenaza con liberarlos si no se cumplen sus demandas de extorsión.

¿Nos podemos cuidar de estos ataques?

El grupo de investigadores de seguridad de Sophos recomienda lo siguiente:

  • Actualizar regularmente los controladores de seguridad para que se puedan remediar las vulnerabilidades conocidas en ellos.
  • Incluir en la lista de bloqueo los controladores que se sabe que aún son explotables.
  • De acuerdo con Budd: «Es fundamental que los defensores controlen las nuevas técnicas de evasión y explotación e implementen mitigaciones antes de que estas técnicas estén ampliamente disponibles en la escena del delito cibernético».
  • Si tienes una empresa, aplica parches de seguridad y actualizaciones de manera oportuna. También empieza a proporcionar la autenticación de múltiples factores a los usuarios. 

Todos estos pasos podrían ayudar a que los ciberdelincuentes no accedan a tu red.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *