Conclusiones clave
- Los investigadores de seguridad han descubierto un malware exclusivo que infecta la memoria flash de la placa base.
- El malware es difícil de eliminar y, en primer lugar, los investigadores aún no entienden cómo ingresa a la computadora.
-
El malware Bootkit seguirá evolucionando, advierten los investigadores.
Desinfectar una computadora requiere algo de tiempo. Un nuevo malware hace que la tarea sea aún más engorrosa, ya que los investigadores de seguridad han descubierto que se incrusta tan profundamente en la computadora que probablemente tendrás que tirar la placa base para deshacerte de él.
Apodado MoonBounce por los detectives de seguridad de Kaspersky que lo descubrieron, el malware, técnicamente llamado bootkit, atraviesa más allá del disco duro y se entierra en el firmware de arranque de la interfaz de firmware extensible unificada (UEFI) de la computadora.
"El ataque es muy sofisticado", dijo Tomer Bar, director de investigación de seguridad de SafeBreach, a Lifewire por correo electrónico. "Una vez que la víctima está infectada, es muy persistente, ya que ni siquiera un formato de disco duro ayudará".
Nueva amenaza
El malware Bootkit es raro, pero no completamente nuevo, ya que Kaspersky mismo descubrió otros dos en los últimos años. Sin embargo, lo que hace que MoonBounce sea único es que infecta la memoria flash ubicada en la placa base, haciéndola impermeable al software antivirus y todos los demás medios habituales para eliminar malware.
De hecho, los investigadores de Kaspersky señalan que los usuarios pueden reinstalar el sistema operativo y reemplazar el disco duro, pero el kit de arranque permanecerá en la computadora infectada hasta que los usuarios vuelvan a actualizar la memoria flash infectada, que describen como "un proceso muy complejo", o reemplazar la placa base por completo.
Lo que hace que el malware sea aún más peligroso, agregó Bar, es que no tiene archivos, lo que significa que no depende de archivos que los programas antivirus puedan marcar y no deja huella aparente en la computadora infectada, lo que lo hace muy difícil de rastrear.
Según su análisis del malware, los investigadores de Kaspersky señalan que MoonBounce es el primer paso de un ataque de varias etapas. Los actores deshonestos detrás de MoonBounce usan el malware para establecer un punto de apoyo en la computadora de la víctima, que creen que luego se puede usar para implementar amenazas adicionales para robar datos o implementar ransomware.
La gracia salvadora, sin embargo, es que los investigadores han encontrado solo una instancia del malware hasta ahora. "Sin embargo, es un conjunto de código muy sofisticado, lo cual es preocupante; al menos, presagia la probabilidad de otro malware avanzado en el futuro", advirtió Tim Helming, evangelista de seguridad de DomainTools, a Lifewire por correo electrónico.
Therese Schachner, Consultora de Seguridad Cibernética en VPNBrains estuvo de acuerdo. "Dado que MoonBounce es particularmente sigiloso, es posible que haya instancias adicionales de ataques MoonBounce que aún no se hayan descubierto".
Inocule su computadora
Los investigadores señalan que el malware se detectó solo porque los atacantes cometieron el error de utilizar los mismos servidores de comunicación (conocidos técnicamente como servidores de comando y control) que otro malware conocido.
Sin embargo, Helming agregó que dado que no es evidente cómo se produce la infección inicial, es prácticamente imposible dar instrucciones muy específicas sobre cómo evitar infectarse. Sin embargo, seguir las mejores prácticas de seguridad bien aceptadas es un buen comienzo.
"Si bien el malware avanza, los comportamientos básicos que el usuario promedio debe evitar para protegerse no han cambiado realmente. Es importante mantener el software actualizado, especialmente el software de seguridad. Evitar hacer clic en enlaces sospechosos sigue siendo una buena estrategia", sugirió Tim Erlin, vicepresidente de estrategia de Tripwire, a Lifewire por correo electrónico.
… es posible que haya instancias adicionales de ataques MoonBounce que aún no se han descubierto.
Añadiendo a esa sugerencia, Stephen Gates, evangelista de seguridad en Checkmarx, le dijo a Lifewire por correo electrónico que el usuario de escritorio promedio tiene que ir más allá de las herramientas antivirus tradicionales, que no pueden prevenir ataques sin archivos, como MoonBounce.
"Busque herramientas que puedan aprovechar el control de secuencias de comandos y la protección de la memoria, e intente utilizar aplicaciones de organizaciones que emplean metodologías de desarrollo de aplicaciones modernas y seguras, desde el fondo de la pila hasta la parte superior", sugirió Gates.
Bar, por otro lado, abogó por el uso de tecnologías, como SecureBoot y TPM, para verificar que el firmware de arranque no haya sido modificado como una técnica de mitigación efectiva contra el malware bootkit.
Schachner, en líneas similares, sugirió que la instalación de actualizaciones de firmware UEFI a medida que se publiquen ayudará a los usuarios a incorporar correcciones de seguridad que protejan mejor sus computadoras contra amenazas emergentes como MoonBounce.
Además, también recomendó usar plataformas de seguridad que incorporen detección de amenazas de firmware. "Estas soluciones de seguridad permiten a los usuarios estar informados sobre posibles amenazas de firmware lo antes posible para que puedan abordarse de manera oportuna antes de que las amenazas se intensifiquen".
