¡Grave! Descubren el primer rootkit activo de UEFI: pueden tomar control total de tu computador

¡Grave! Descubren el primer rootkit activo de UEFI: pueden tomar control total de tu computador

Ataque puede sobrevivir incluso a la reinstalación de un sistema operativo. “Es una amenaza real, avanzada y persistente”, dicen desde ESET.

La compañía de ciberseguridad, ESET, acaba de anunciar el descubrimiento del primer ciberataque que utiliza un rootkit UEFI para infectar y conseguir persistencia en el computador de una víctima.

Los rootkits UEFI son herramientas muy peligrosas, puesto que permiten tomar el control del dispositivo. Son difíciles de descubrir y pueden sobrevivir incluso a las medidas más comunes utilizadas en los departamentos de seguridad, tales como la reinstalación del sistema o el reemplazo del disco duro.

El malware fue denominado LoJax, por ESET, y pertenece a una campaña del grupo denominado Sednit. Josep Albors, responsable de investigación y concienciación de ESET, mencionó en un comunicado a FayerWayer que además, la limpieza de un sistema infectado por un rootkit UEFI no es algo sencillo:

Estábamos al tanto de la existencia de rootkits UEFI, pero el descubrimiento realizado por nuestros investigadores pone de manifiesto su utilización por parte de un grupo activo y conocido de ciberdelincuentes. No se trata de una prueba de concepto para mostrar en una conferencia de seguridad, sino de una amenaza real, avanzada y persistente.

Sednit es también conocido como APT28, Strontium, Sofacy o Fancy Bear. Están activos desde 2004, e incluso han sido acusados por el Departamento de Justicia de los Estados Unidos de ser los responsables del ataque al Comité Nacional Demócrata que tuvo lugar antes de las elecciones de 2016. Albors agregó:

Este descubrimiento debería servir para incorporar, de una vez por todas, el análisis regular también del firmware de los dispositivos utilizados en una organización. Es cierto que los ataques UEFI son extremadamente raros y hasta ahora se limitaban a la manipulación del dispositivo afectado, pero un ataque como el descubierto puede conseguir que un atacante obtenga el control completo del aparato con una persistencia prácticamente total.

Desde la firma también han mencionado que tienen un servicio llamado ESET UEFI Scanner, que añade una capa de protección dedicada en las soluciones endpoint, diseñada específicamente para detectar componentes maliciosos en el firmware de los dispositivos.