Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Josep Albors, Responsable de investigación y concienciación de Eset España

Lojax, el primer ‘rootkit’ UEFI que pone en guardia a la industria

Hace ya mucho tiempo que nos dimos cuenta de que los ciberdelincuentes no descansan a la hora de buscar nuevas formas de realizar ataques o de buscar vulnerabilidades que puedan aprovechar para extorsionar o robar tanto datos como dinero.

El pasado mes de septiembre, gracias al descubrimiento por parte del laboratorio de Eset, asistimos a uno de esos hitos que pone en guardia al sector: por primera vez en la historia, el grupo de ciberdelincuentes Sednit utilizó el rootkit UEFI en un ataque real contra organizaciones gubernamentales de los Balcanes y Europa Central y del Este: nunca antes había sido detectado un malware de este tipo en un ataque real, algo que puede suponer un peligroso avance en las herramientas utilizadas por los delincuentes o grupos especializados en realizar ataques dirigidos.

Los rootkits UEFI son herramientas muy peligrosas en el mundo de la ciberdelincuencia, ya que permiten tomar el control del dispositivo independientemente del sistema operativo utilizado, son difíciles de descubrir y pueden sobrevivir incluso a las medidas más comunes utilizadas en los departamentos de seguridad, como la reinstalación del sistema o el reemplazo del disco duro. Además, la limpieza de un sistema infectado por un rootkit UEFI debe llevarse a cabo por profesionales especializados con conocimientos de alto nivel.

Sednit –también conocido como APT28, Strontium, Sofacy o Fancy Bear– es el grupo responsable del ataque que salió a la luz el pasado septiembre. Se trata de un grupo de ciberdelincuentes muy activo desde 2004, autor, entre otros, del ataque al Comité Nacional del Partido Demócrata de Estados Unidos que afectó a las elecciones de 2016, al canal de televisión francés TV5Monde, a la Agencia Mundial Antidopaje y a muchas otras instituciones en todo el mundo.

El descubrimiento por parte del laboratorio de Eset de este rootkit UEFI usado como herramienta de ataque por primera vez es una llamada de atención a los usuarios y a las organizaciones que ignoran los riesgos de un mundo ultraconectado. Pero no olvidemos que hay muchas más vulnerabilidades y que no debemos perder la atención por unas políticas de seguridad globales y no puntuales.

Datos privados

Si hay una constante que parece repetirse durante los últimos meses, esta es el robo y las filtraciones continuas de datos privados de usuarios y empresas. Después del verano vivimos,por ejemplo, el problema de seguridad de Facebook, que inicialmente se pensó que había afectado a 50 millones de usuarios de la popular red social pero que, posteriormente,la empresa rebajó a 30 millones. Estos datos pudieron ser obtenidos de forma ilícita aprovechando la existencia de un agujero de seguridad en el código que permitía obtener los tokens de acceso a las cuentas de los usuarios afectados, llegando a poder tomar el control de ellas.

También los usuarios de la aerolínea British Airways fueron víctimas de un robo de información personal y financiera alojada en los servidores de la empresa. Al menos 380.000 pagos con tarjetas realizados a través de su aplicación y página web se vieron comprometidos.

Pero el incidente con más usuarios afectados en los últimos meses fue el protagonizado por la empresa de soluciones de backup Veeam, que dejó expuesta una base de datos que contenía más de 445 millones de registros que incluían direcciones de correo electrónico. La base de datos con toda esa información fue descubierta por un investigador que la localizó totalmente accesible durante al menos nueve días y sin contraseña alguna.

Criptodivisas

El troyano bancario DanaBot, que fue descubierto a principios de año y que afectaba a usuarios de Australia y, posteriormente, de Polonia, también ha tenido su cuota de protagonismo en los últimos meses, especialmente porque se ha seguido expandiendo por el territorio europeo, sobre todo por Italia, Alemania, Austria y, desde el pasado mes de septiembre, Ucrania.

El malware que mina criptodivisas sin permiso aprovechándose de los recursos de los sistemas a los que infecta sigue siendo una de las amenazas más prevalentes y los delincuentes no dejan de innovar a la hora de conseguir nuevas víctimas. Después del verano pasado vimos cómo algunos complementos para el popular gestor de medios Kodi estaban siendo utilizados como parte de una campaña de criptominería que utiliza complementos infectados descargados desde repositorios de terceros. La existencia de binarios de este malware tanto para Windows como para Linux nos hace pensar que los delincuentes tienen como objetivo dispositivos como la Raspberry Pi, muy extendidos para visualizar contenido a través de esta plataforma.

A pesar de todos estos ataques más o menos avanzados, desde finales de julio venimos observando una campaña de extorsión a los usuarios usando solamente el correo electrónico. En la mayoría de casos este tipo de chantajes no funcionaría, pero los delincuentes detrás de esta campaña están aprovechándose tanto de antiguas contraseñas de servicios comprometidos como de la suplantación del remitente del correo para hacer creer que han sido hackeados de verdad. Tras revisar los ingresos realizados a las carteras de Bitcoin de los delincuentes, podemos decir que esta campaña les está saliendo muy rentable si tenemos en cuenta el retorno de inversión obtenido y el poco esfuerzo realizado.

Dispositivos e IoT

Los dispositivos móviles, especialmente aquellos con sistema operativo Android, siguen en el punto de mira de los delincuentes. La descarga de aplicaciones maliciosas, tanto financieras como de ocio, seguía siendo una tónica a la hora de conseguir que los usuarios instalasen código malicioso en sus smartphones.

Un ejemplo de esto lo tenemos en el descubrimiento por parte de investigadores de Eset de varias apps de banca online y un exchange de criptomonedas fraudulentas que estarían orientadas a usuarios de países como Australia, Nueva Zelanda, Reino Unido, Suiza, Polonia y Austria. Estas aplicaciones fueron descargadas cientos de veces antes de ser retiradas en septiembre y su finalidad era robar detalles de las tarjetas de crédito y/o claves de acceso a las cuentas de entidades financieras suplantadas mediante el uso de formularios falsos.

Por otro lado, una de las aplicaciones más esperadas entre los usuarios de Android, como la del videojuego Fortnite, también está siendo utilizada por los delincuentes para propagar sus amenazas. Hasta 32 aplicaciones falsas disponibles para su descarga en 12 tiendas no oficiales fueron encontradas y se espera que esta tendencia siga produciéndose ahora que la aplicación ya ha sido lanzada de forma oficial y el desarrollador haya decidido no utilizar Google Play para distribuir el instalador del juego.

Durante los últimos meses hemos visto cómo dispositivos tan comunes como los routers, concretamente los del fabricante MikroTik, son objeto de los delincuentes para controlarlos y desempeñar funciones como la criptominería. Numerosas vulnerabilidades existentes y ya parcheadas desde hace meses son aprovechadas para tomar el control de estos dispositivos, lo que demuestra el pobre mantenimiento que los mismos suelen tener por parte de los usuarios.

Además de los routers, otros de los dispositivos favoritos de los delincuentes para infectar son las cámaras de circuito cerrado o CCTV. Muchas de ellas están expuestas en Internet con contraseñas débiles, vulnerabilidades explotables o sin ninguna contraseña, algo que aprovechan los criminales para controlar remotamente miles de cámaras en todo el mundo.

Palabras clave:

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual