RobbinHood mata los procesos de seguridad antes de caer …



Los atacantes implementan un controlador de components legítimo y firmado digitalmente para eliminar el computer software de seguridad de las máquinas antes de cifrar los archivos.

En una campaña de ataque recientemente detectada, los atacantes detrás del ransomware RobbinHood implementan controladores de hardware legítimos y firmados digitalmente para eliminar las herramientas de seguridad en las máquinas objetivo antes de encriptar los archivos.

Estos ataques explotan la vulnerabilidad conocida CVE-2019-19320, informan investigadores de Sophos que investigaron dos ataques que emplearon esta técnica. La falla existe en un controlador firmado que forma parte de un paquete de application ahora en desuso publicado por el fabricante de placas foundation de Taiwán Gigabyte. Cuando se parchó con el código de prueba de concepto en 2018, Gigabyte dijo que sus productos no se vieron afectados por las fallas. Si bien la compañía luego rescindió su declaración, continuó utilizando el controlador susceptible, que sigue siendo una amenaza.

El mecanismo de firma de código utilizado para firmar digitalmente el controlador proviene de Verisign, que no ha revocado el certificado de firma, Andrew Brandt y Mark Loman de Sophos escriben en un entrada en el web site en sus hallazgos. Como resultado, la firma Authenticode para el controlador sigue siendo válida.

Los atacantes usan el controlador Gigabyte como una cuña para cargar un segundo controlador sin firmar en una máquina con Home windows. Este segundo controlador tiene la libertad de eliminar procesos y archivos pertenecientes a herramientas de seguridad y evitar la protección contra manipulaciones para que el ransomware pueda continuar propagándose. Esta técnica se ha utilizado para subvertir una configuración en la memoria del kernel en Windows 7, 8 y 10.

«El controlador malicioso contiene solo código para matar, nada más», dijo Loman, director de ingeniería de Sophos, en un correo electrónico a Darkish Looking at. «Por lo tanto, incluso si tiene una computadora Home windows completamente parcheada sin vulnerabilidades conocidas, el ransomware proporciona a los atacantes una que les permite destruir sus defensas como precursoras de los ataques de ransomware».

Esta es la primera vez que Sophos ha visto al ransomware desplegar su propio controlador de terceros legítimamente firmado, aunque vulnerable, para asumir el control de un dispositivo y usarlo para desactivar su application de seguridad instalado, evadiendo las capacidades creadas para bloquear este tipo de actividad maliciosa. Al deshabilitar la protección, los atacantes allanan el camino para que su malware instale y ejecute ransomware.

En el transcurso de su investigación, los investigadores detectaron varios rasgos que indican que estas campañas tienen el mismo autor que RobbinHood, el mismo ransomware que azotó la ciudad de Baltimore en mayo pasado.

Loman recomienda lo que él llama un «enfoque triple» para defenderse de este tipo de ataque. Para empezar, debido a que los ataques de hoy usan una miríada de técnicas, los defensores deberían adoptar diferentes tecnologías para interrumpir múltiples etapas de un ataque, integrar la nube pública en su estrategia de seguridad y habilitar funcionalidades clave como la protección contra manipulaciones en su software package de protección de punto ultimate.

En segundo lugar, sugiere adoptar prácticas de seguridad sólidas que incluyan autenticación multifactor, contraseñas complejas, derechos de acceso limitados, parches regulares y copias de seguridad. Y, por último, Loman alienta a las organizaciones a continuar invirtiendo en la capacitación en seguridad para empleados.

Contenido relacionado:

Kelly Sheridan es la Editora de personal de Dim Reading, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance coverage & Technologies, donde cubrió asuntos financieros … Ver biografía completa

Más suggestions





Enlace a la noticia first