El ransomware RobbinHood engaña a Windows para que elimine las defensas


Sophos ha publicado una investigación sobre un nuevo tipo de ataque de ransomware en el que los ciberdelincuentes están implementando controladores de hardware legítimos y firmados digitalmente para eliminar productos de seguridad de sus sistemas de destino antes de cifrar los datos del usuario.

El ransomware RobbinHood funciona explotando una vieja vulnerabilidad, CVE-2018-19320, que existe en un controlador ahora en desuso producido por la firma taiwanesa Gigabyte, que todavía tiene una firma Verisign Authenticode válida y no revocada y que muchos siguen usando a pesar de haber sido descontinuado.

El controlador Gigabyte de confianza y firmado se utiliza como una cuña para parchear Núcleos de Windows, cargue un controlador malicioso y sin firmar, y elimine las aplicaciones de seguridad defensivas desde el modo kernel.

Según los investigadores de Sophos, esta es la primera vez que se ve un vector de ataque de este tipo, a pesar de que el ransomware que intenta eludir los productos de seguridad no es nuevo, pero matar sus procesos desde el modo kernel en lugar del modo usuario es claramente ventajoso.


Deberías leer:   Bitcoin (BTC) en camino a su peor trimestre en más de una década

Es importante destacar que el controlador malicioso solo contiene código de eliminación y nada más, lo que significa que incluso si el objetivo ejecuta un sistema Windows completamente parcheado sin vulnerabilidades conocidas, los atacantes aún pueden destruir las defensas de seguridad como precursoras del ataque real del ransomware.

Mark Loman, director de ingeniería de Sophos, dijo que el análisis de la empresa sobre RobbinHood mostró cuán rápida y peligrosa está evolucionando la amenaza del ransomware.

“Esta es la primera vez que vemos que el ransomware trae su propio controlador de terceros legítimamente firmado, aunque vulnerable, para tomar el control de un dispositivo y usarlo para deshabilitar el software de seguridad instalado, evitando las funciones especialmente diseñadas para evitar tal manipulación. Eliminar la protección deja el malware libre para instalar y ejecutar el ransomware sin interrupciones ”, dijo.

Sophos encontró una serie de indicadores que sugieren que los autores del controlador malicioso son el mismo grupo detrás de RobbinHood, una variedad de ransomware que causó el caos para muchas víctimas en 2019, notablemente la ciudad de Baltimore en Maryland, donde los empleados del gobierno local fueron bloqueados de sus sistemas durante más de dos semanas.

Deberías leer:   Mitch McConnell amenaza con hundir el proyecto de ley de China por el impulso de impuestos y gastos de los demócratas

Loman estableció una serie de pasos que los usuarios pueden tomar para protegerse de RobbinHood. “Recomendamos un enfoque triple. Primero, dado que los ataques de ransomware de hoy en día usan múltiples técnicas y tácticas, los defensores deben implementar una gama de tecnologías para interrumpir la mayor cantidad de etapas posible del ataque, integrar la nube pública en su estrategia de seguridad y habilitar funciones importantes, incluida la protección contra manipulaciones, en su software de seguridad de punto final. Si es posible, complemente esto con inteligencia sobre amenazas y búsqueda profesional de amenazas ”, dijo.

En segundo lugar, aplique prácticas de seguridad sólidas como autenticación de múltiples factores, contraseñas complejas, derechos de acceso limitados, parches regulares y copias de seguridad de datos, y bloquee los servicios de acceso remoto vulnerables. Por último, pero no menos importante, invierta y siga invirtiendo en la capacitación en seguridad de los empleados “.

Detalles técnicos completos de cómo funciona RobbinHood, junto con indicadores de compromiso (IoC), se puede encontrar en el blog de Sophos.

Deberías leer:   Google dice que eliminará los datos de ubicación cuando los usuarios visiten las clínicas de aborto
Pilar Benegas

Pilar Benegas es una reconocida periodista con amplia experiencia en importantes medios de USA, como LaOpinion, Miami News, The Washington Post, entre otros. Es editora en jefe de Es de Latino desde 2019.