Malware
Marta Sanz Romero
Los piratas informáticos responsables de TrickBot ahora pueden infectar con mayor profundidad los dispositivos de sus víctimas. Ahora este malware es más difícil de detectar y eliminar.
TrickBot es el nombre de uno de los malware más conocidos actualmente, se ha convertido en la red de cibercrimen más activa del momento, una red botnet. Está compuesto por al menos un millón de ordenadores secuestrados que fueron infectados con el malware Trickbot y que, según los informes de las agencias de seguridad informática, estaría administrada por cibercriminales de origen ruso.
Microsoft intentó acabar con él hace un mes, así como otras compañías de ciberseguridad, pero es persistente. Esa resistencia parece tener su origen en un nuevo truco descubierto por los ciberdelincuentes para infectar a mayor profundidad la máquina.
El truco consiste en infectar la parte más básica e indispensable del ordenador, aquella sin la cual todo o demás no funcionaría, el UEFI. Unified Extensible Firmware Interface es el relevo generacional del sistema BIOS (Basic Input/Output System), presente en el arranque de los ordenadores desde hace más de 40 años, y al que lleva sustituyendo de forma progresiva en los nuevos ordenadores y dispositivos desde hace casi una década.
La función de UEFI en un ordenador es, básicamente, la de conectar el hardware con el código del software y dar las instrucciones para que la máquina arranque. Otros malwares como TrickBot también está dando con esta estrategia infectando los archivos de la UEFI para ejecutarse incluso antes de que se haya iniciado el propio sistema operativo, haciendo imposible su eliminación, da igual que se reinstale el sistema, se formatea las particiones e incluso se sustituya el disco duro, el virus sigue ahí.
Los UEFI de los ordenadores ya vienen equipados con programas de protección para evitar estas situaciones, pero los ciberdelincuentes parecen haber dado con una opción, una brecha de seguridad que les permite llevar el ataque a cabo y esconderse tras el UEFI.
Las firmas de seguridad AdvIntel y Eclypsium han sido las que han detectado ese nuevo componente del troyano que los piratas informáticos de TrickBot utilizan para infectar máquinas de los millones de víctimas.
Vitali Kremez, investigador de ciberseguridad de AdvIntel y director ejecutivo de la empresa, ha explicado a The Wired que «el grupo está buscando formas novedosas de lograr una persistencia muy avanzada en los sistemas, para sobrevivir a las actualizaciones de software y entrar en el núcleo del firmware». Si tiene éxito infectado el firmware de un ordenador, «las posibilidades son infinitas, desde la destrucción hasta la toma de control del sistema básicamente completo» agrega Kremez.