Seguridad

Bytes negros: nuevos ataques de malware que utilizan controladores reales

En un ataque cibernético, los piratas suelen inyectar código malicioso en el sistema de la víctima para tomar el control de su computadora. Un nuevo tipo de ransomware llamado Blackbyte adopta un enfoque diferente y lo utiliza para engañar a los programas de seguridad. Según los expertos en seguridad cibernética de Sophos, Blackbyte utiliza una estrategia llamada «traiga su propio controlador». En lugar de código malicioso, el atacante primero importó un controlador heredado con una firma válida en el sistema.

Controlador MSI vulnerable

En el caso del byte negro, es el archivo RTCore64.sys para el controlador MSI Afterburner. No clasifican los programas antivirus y de seguridad tradicionales como amenazas y permiten su instalación sin previo aviso. El quid de la cuestión: el conductor en cuestión tenía un grave agujero de seguridad. Después de una instalación exitosa, los delincuentes lo usan de manera específica para asegurar el acceso a la computadora y deshabilitar cualquier medida de seguridad existente. Luego pueden ocuparse de sus asuntos y causar estragos en los sistemas secuestrados. Dado que Blackbyte es un ransomware, la computadora se cifra en este punto y luego se extorsiona a la víctima.

Dificultad para defenderse de los ataques.

Es difícil para los usuarios privados protegerse contra este tipo de ataque ya que los programas simples de seguridad de la red no pueden reconocer esta práctica. Por otro lado, según un informe de Golem.de, en las empresas, los administradores de sistemas pueden bloquear la instalación de controladores inseguros configurando una lista negra. Además, deben estar atentos a las instalaciones de los controladores y verificar regularmente para detectar controladores que no coincidan con el hardware existente. Sin embargo, el enfoque de «traiga su propio conductor» no es nuevo. Según los informes, se han llevado a cabo otros ataques de ransomware de esta manera. Entre otras cosas, se utilizó un controlador inseguro del fabricante Dell y un controlador antitrampas del juego «Genshin Impact».

LEER  ¿Qué es la copia de seguridad a nivel de bloque?

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba