En los últimos dos meses, la botnet controlada por ciberdelincuentes conocida como TrickBot se ha convertido, según algunas medidas, en el enemigo público número uno de la comunidad de ciberseguridad. Ha sobrevivido a los intentos de eliminación por parte de Microsoft, un supergrupo de empresas de seguridad e incluso el Cyber Command de EE.UU. Ahora parece que los piratas informáticos detrás de TrickBot están probando una nueva técnica para infectar los rincones más profundos de las máquinas infectadas, llegando más allá de sus sistemas operativos y dentro de su firmware.
Las firmas de seguridad AdvIntel y Eclypsium revelaron hoy que han detectado un nuevo componente del troyano que los piratas informáticos TrickBot utilizan para infectar máquinas. El módulo no descubierto anteriormente comprueba las computadoras de las víctimas en busca de vulnerabilidades que permitan a los piratas informáticos colocar una puerta trasera en un código profundamente arraigado conocido como Interfaz de firmware extensible unificada, que es responsable de cargar el sistema operativo de un dispositivo cuando se inicia. Debido a que la UEFI se encuentra en un chip en la placa base de la computadora fuera de su disco duro, colocar un código malicioso allí permitiría a TrickBot evadir la mayoría de las detecciones de antivirus, actualizaciones de software o incluso una limpieza total y reinstalación del sistema operativo de la computadora. Alternativamente, podría usarse para «bloquear» computadoras de destino, corromper su firmware hasta el punto en que la placa base tendría que ser reemplazada.
El uso de esa técnica por parte de los operadores de TrickBot, que los investigadores llaman «TrickBoot», hace que el grupo de piratas informáticos sea solo uno de los pocos, y el primero que no está patrocinado por el estado, que ha experimentado en la naturaleza con malware dirigido a UEFI, dice Vitali Kremez, investigador de ciberseguridad de AdvIntel y director ejecutivo de la empresa. Pero TrickBoot también representa una nueva herramienta insidiosa en manos de un descarado grupo de delincuentes, una que ya ha utilizado su posición dentro de las organizaciones para plantar ransomware y se asoció con piratas informáticos norcoreanos centrados en el robo. «El grupo está buscando formas novedosas de lograr una persistencia muy avanzada en los sistemas, para sobrevivir a las actualizaciones de software y entrar en el núcleo del firmware», dice Kremez. Si pueden penetrar con éxito el firmware de una máquina víctima, agrega Kremez, «las posibilidades son infinitas, desde la destrucción hasta la toma de control del sistema básicamente completo».
Los piratas informáticos detrás de TrickBot, que generalmente se cree que tienen su sede en Rusia, se han ganado la reputación de ser algunos de los piratas informáticos ciberdelincuentes más peligrosos de Internet. Su botnet, que en su apogeo ha incluido más de un millón de máquinas esclavizadas, se ha utilizado para plantar ransomware como Ryuk y Conti dentro de las redes de innumerables víctimas, incluidos hospitales e instalaciones de investigación médica. La botnet se consideró lo suficientemente amenazante como para que dos operaciones distintas intentaran interrumpirla en octubre.: Uno, llevado a cabo por un grupo de empresas que incluyen a Microsoft, ESET, Symantec y Lumen Technologies, buscaba utilizar órdenes judiciales para cortar las conexiones de TrickBot con los servidores de comando y control con sede en EE. UU. Otra operación simultánea del US Cyber Command esencialmente pirateó la botnet, enviando nuevos archivos de configuración a sus computadoras comprometidas diseñadas para aislarlas de los operadores de TrickBot. No está claro hasta qué punto los piratas informáticos han reconstruido TrickBot, aunque han agregado al menos 30.000 víctimas a su colección desde entonces comprometiendo nuevas computadoras o comprando acceso a otros piratas informáticos, según la firma de seguridad Hold Security.
Kremez de AdvIntel encontró la nueva función de TrickBot centrada en el firmware, cuyo diseño modular le permite descargar nuevos componentes sobre la marcha en las computadoras víctimas, en una muestra del malware a fines de octubre, justo después de los dos intentos de operaciones de eliminación. Él cree que puede ser parte de un intento de los operadores de TrickBot de ganar terreno que pueda sobrevivir en las máquinas de destino a pesar de la creciente notoriedad de su malware en la industria de la seguridad. «Como todo el mundo está mirando, han perdido muchos bots», dice Kremez. «Por lo tanto, su malware debe ser sigiloso y por eso creemos que se centraron en este módulo».
Después de determinar que el nuevo código tenía como objetivo la intromisión de firmware, Kremez compartió el módulo con Eclypsium, que se especializa en seguridad de microarquitectura y firmware. Los analistas de Eclypsium determinaron que el nuevo componente que encontró Kremez en realidad no altera el firmware de la PC víctima, sino que busca una vulnerabilidad común en las UEFI de Intel. Los fabricantes de PC que implementan el firmware UEFI de Intel a menudo no establecen ciertos bits en ese código diseñados para evitar que se manipulen. Eclypsium estima que el problema de configuración persiste en decenas de millones o incluso posiblemente en cientos de millones de PC. «Son capaces de buscar e identificar, está bien, este es un objetivo que vamos a poder hacer este ataque basado en firmware más invasivo o más persistente»,dice el investigador principal de Eclypsium, Jesse Michaels. «Eso parece valioso para este tipo de campaña generalizada donde sus objetivos específicos pueden ser ransomware, sistemas de ladrillos, poder persistir en entornos».
Eclypsium y AdvIntel argumentan que TrickBot probablemente ya ha alterado el firmware de algunas víctimas, a pesar de no haberlo observado directamente. «Literalmente sería un cambio de un byte o una línea para, por ejemplo, borrar el flash o escribir en el flash en lugar de simplemente leer el flash», dice Michaels, refiriéndose al chip flash SPI que almacena los datos de una computadora. UEFI.
Para las posibles víctimas de TrickBot, combatir su técnica de pirateo de firmware requerirá una nueva atención a los componentes vulnerables de la computadora que a menudo se ignoran. Eclypsium y AdvIntel recomiendan que las empresas verifiquen el firmware de sus PC para determinar si es vulnerable, actualicen su firmware cuando los proveedores pongan a disposición un nuevo código y, quizás lo más importante, verifiquen el firmware de sus PC para detectar alteraciones como parte de su respuesta a cualquier infección de TrickBot detectada.
La piratería de firmware ha aparecido en forma salvaje antes, utilizada por piratas informáticos patrocinados por el estado desde la CIA hasta el equipo Fancy Bear de Rusia y un posible grupo chino que reutilizó una herramienta de espionaje de firmware creada por la empresa de piratas informáticos a sueldo Hacking Team. Pero Eclypsium y AdvIntel argumentan que la aparición de TrickBoot significa que la piratería de firmware está pasando de ataques dirigidos y patrocinados por el estado a una piratería criminal mucho menos discriminada y centrada en las ganancias. Y eso significa que un nuevo y vasto grupo de víctimas potenciales deben comenzar a estar atentos al firmware de sus PC.
«Como empresa, tiene todas estas cosas en su entorno», dice el investigador de ciberseguridad de Eclypsium, Scott Scheferman, «y la probabilidad de que contraiga una infección por TrickBot durante los próximos tres meses es muy alta. Así que es hora de empezar de verdad. prestar atención.»
Fuente: LINK
Get Involved & Participate!
Comments