Desde hace unos años la proliferación de malware es apabullante. Y no solo es la cantidad ingente de ellos, sino su maldad, agresividad, sutileza y nivel de sofisticación impresionante. Ante ellos, los viejos virus tradicionales son menos que juegos de críos.
De entre los más dañinos tenemos los ransomware y entre ellos los rootkits. Un rootkit son una serie de herramientas binarias que una vez ejecutadas en un sistema, lo preparan para tomar el mando de muy diversas tareas…entre las más comunes están la de capturar el tráfico de datos para obtener contraseñas y otro tipo de datos "comercializables" o bien la de tomar el mando del sistema en sí y cifrar archivos a diestra y siniestra para luego "pedir" un rescate para liberarlos. Los objetivos y usos son diversos y ninguno decente.
Los rootkits son complicados de detectar y más aun de eliminar. Son códigos en constante mutación que ni siquiera necesitan estar continuamente ejecutándose, con una sola ejecución son capaces de modificar archivos críticos del sistema para que a partir de entonces sean los propios servicios del mismo sistema los que hagan el trabajo sucio sin llamar la atención. Siempre van tres o cuatro pasos más adelantados que las herramientas de detección. Muchos antivirus ya ni siquiera buscan solamente secuencias de código sospechosas, sino que usan la inteligencia artificial para comprender y memorizar el tipo de uso y actividades habituales de los usuarios para determinar si en un momento dado se produce una actividad no habitual por muy discreta que sea y alertar sobre eso (accesos no autorizados…o autorizados… a archivos en segundo plano, uso de internet fuera de lo habitual, ejecución de archivos de forma automática o no solicitados por ninguna aplicación, servicios que no se detienen cuando no justifican que estén en uso, etc…).
Es complicado y muchas veces imposible eliminarlos. Realizan cambios tan severos en el sistema que la única solución para restaurar un sistema es simplemente reinstalándolo.
El siguiente paso fue la creación de rootkits que se instalaban en el MBR o el GPT, que no es más que una "especie" de minisistema que indica a los sistemas operativos como está distribuida la información en un disco duro. Ante estos mal nacidos ni reinstalando el sistema operativo sirve. La única opción es cambiar directamente el disco duro o bien realizar un formateo a bajo nivel…eliminar bit a bit todo el contenido del disco y volver a grabarlo para dejarlo como recién salido del fabricante, pero a veces ni con eso puedes eliminarlo al auto-protegerse de este tipo de "limpiezas" impidiendo que formatees.
Hasta ahora estos rootkits eran los más dañinos…imposibles o casi imposibles de detectar y dificilísimos de eliminar.
Pero la historia del lado oscuro informático ha avanzado un paso más y lo que parecía ciencia ficción ha sucedido.
De la mano del grupo de piratas informáticos APT28, uno de los grupos de piratas más temido del mundo, aparece en escena el que está considerado el malware tipo rootkit más dañino de la historia, denominado LoJax.
LoJax no es un malware cualquiera. Lo que lo diferencia de cualquier otro es el lugar usado para infectar un equipo…y noten que digo equipo y no sistema. LoJax se instala e infecta nada menos que la mismísima BIOS/UEFI. Una vez infectada la BIOS/UEFI, el equipo es irrecuperable. Cada vez que se enciende el equipo, todo lo que viene después está en manos de LoJax. Es prácticamente indetectable…casi ningún antivirus o herramienta de seguridad se le ocurre verificar la integridad de la BIOS, y aunque lo hiciera, una vez que el antivirus esté en posición de funcionar, el malware ya está inactivo. Es más….modifican de tal manera las cosas, que son capaces de hacerle creer al antivirus que la BIOS es original y sin modificaciones. Una vez iniciada la BIOS/UEFI, LoJax inyecta código binario en la memoria del sistema y desde ahí al sistema operativo.
Da igual si reinstalamos el sistema operativo, si formateamos el disco duro en bajo o alto nivel…incluso da igual si cambiamos el disco duro…LoJax no se encuentra ni en el sistema operativo ni en el disco duro. La única forma de "eliminarlo" es cambiando toda la placa base, pues actualizar el firmware de la BIOS es casi imposible debido a los sistemas de auto protección de LoJax.
¿Debemos aterrorizarnos por LoJax?... en principio no. y lo digo tajantemente, aunque con las reservas apropiadas.
Hasta ahora solo se han detectado ataques de este tipo de malware en sistemas de grandes empresas. Desarrollar un malware de este tipo, aunque parezcan micro códigos simples (no lo son…nada simples) requiere una buena dosis de inversión, y la mejor forma de rentabilizar el esfuerzo es haciéndose con el control de grandes empresas y sectores del gobierno o financieras que es donde habitualmente se encuentran los botines más suculentos.
Hasta este momento, este tipo de malware no se ha detectado en equipos domésticos y las investigaciones indican que no está diseñado para distribuirse entre ese sector de usuarios. Pero para lograr sus objetivos, no duden que en cualquier momento se usen equipos domésticos para tratar de llegar a los equipos objetivo…si quiero entrar en un banco…igual no es mala idea enviar un correo falso al director del banco…o a cualquier trabajador del mismo. Y es posible que necesite enviar cientos o miles de correos de ese tipo a amigos y gente relacionada con sus objetivos y tratar de llegar a la meta a través de ellos. En ese escenario, una infección mundial masiva podría realizarse en cuestión de minutos, como ya hemos visto en el pasado reciente.
LojaX parece haber sido detectado el pasado mes de Mayo y hay muy poca información acerca de él. Solo se sabe que no se sabe casi nada…no se sabe, por ejemplo, la forma exacta de propagación pues no se han detectado muestras en Internet, solo se ha detectado ya instalado en algunos equipos. Hasta ahora ha sido Europa la víctima y los objetivos han sido siempre grandes empresas. Como ya he dicho…de momento no parece que tengamos que temerlo pues parece que los usuarios domésticos no somos objetivo, pero eso no significa que en un momento dado lo seamos, sino por parte de este grupo de piratas, sí por parte de otros que tengan menos reparos. Además, como hasta ahora no se sabe realmente su método de propagación, no podemos estar realmente seguros que no nos afecte.
La mejor forma que hasta ahora se ha encontrado para tratar de evadir a estos maliciosos bichos es activar el Secure Boot, que es el encargado precisamente de evitar que nadie se infiltre entre otras cosas en la BIOS/UEFI y trate de modificar su firmware. Y por supuesto…ser lo más inteligentes y precavidos posible (ya sé que pido mucho) con lo que abrimos y descargamos.
Como en otras ocasiones, la empresa ESET es la que nos ha alertado sobre LoJax y ha publicado un extenso informe acerca de lo que sabe acerca de este maldito.
En el siguiente enlace podremos leerlo en PDF. Les advierto que es un documento altamente técnico y en inglés…ustedes sabrán si quieren atacar su lectura.
https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf
Un saludo y sean felices como calabacines
0 comentarios