Blog

TrickBoot: La nueva funcionalidad de infección de TrickBot (UEFI)

Trickboot

Trickboot es el nombre que le han puesto a esta nueva funcionalidad que ha implementado el malware Trickbot. Esta nueva característica le permite a Trickbot aprovechar una vulnerabilidad en el sistema UEFI para generar una persistencia continua en el sistema operativo desde la BIOS, provocando que el formateo del equipo o instalar una unidad clonada no sea eficiente para la eliminación de Trickbot en el sistema.

Estructura de operaciones de Trickbot. Fuente de la imagen: AdvIntel

Esta nueva característica prepara el equipo para que los operadores de Trickbot realicen medidas más efectivas para mantener la persistencia en el equipo. Como lo es la instalación de implantes de firmware y puertas traseras o la destrucción de un dispositivo específico. Es muy posible que diferentes actores de amenazas (APT) ya estén explotando estas vulnerabilidades contra objetivos de alto valor.

Trickbot ha demostrado ser una de las piezas de malware más adaptables, como interesantes de este ultimo tiempo, incorporando regularmente nuevas funciones para escalar privilegios, extenderse a nuevos dispositivos y mantener la persistencia en el host. La adición de la funcionalidad UEFI marca un avance importante en esta evolución continua al extender su enfoque más allá del sistema operativo del dispositivo a capas inferiores que a menudo no son inspeccionadas por los productos relacionados en seguridad y los investigadores.

Los operadores están motivados económicamente y utilizan la botnet para entregar el ransomware Ryuk y Conti en máquinas de alto valor. Desde 2018, ganaron al menos $150 millones de dólares. Tras un caso registrado recientemente, tomaron al rededor de 2.200 BTC (valorados en $34 millones de dólares en ese momento).

Las ultimas actividades realizadas por TrickBot

La telemetría de AdvIntel muestra que las infecciones diarias por TrickBot entre el 3 de octubre y el 21 de noviembre alcanzaron un máximo de 40.000 maquinas, con un promedio diario de entre 200 y 4.000. Estas cifras son conservadoras ya que no cuentan los equipos infectados en redes privadas, que se comunican externamente utilizando la dirección IP de la puerta de enlace.

El número de infecciones activas de TrickBot a nivel mundial basado en la geolocalización del ISP. (Fuente de la imagen: AdvIntel Monitoring).

Recomendaciones

Dada a la gran actividad que ha estado presentendo Trickbot en este último tiempo, es importante que los equipos y/o departamentos de seguridad se aseguren de que sus dispositivos no sean vulnerables y no se hayan visto comprometidos ante esta amenaza. Las comprobaciones de la integridad del firmware son importantes para cualquier dispositivo que se sepa que ha sido comprometido por Trickbot.

Algunas de las recomendaciones son:

  • Usar «dispositivo de programación flash SPI» para leer el contenido de chip de memoria SPI, siempre y cuando el sistema esté apagado. Asimismo, aconsejan usar herramientas de código abierto para analizar nuestros equipos y determinar si la protección contra escritura del BIOS está habilitada o no. Además ello, sugieren actualizar el firmware de nuestros equipos.
  • Verifique la integridad del firmware comprobando los valores hash del firmware con las versiones conocidas del firmware. Supervise el comportamiento del firmware para detectar cualquier signo de implantes o modificaciones desconocidas.
  • Actualice el firmware para mitigar las numerosas vulnerabilidades que se han descubierto.
  • Los equipos de respuesta a incidentes (IR) que realizan análisis forenses a nivel de host en dispositivos afectados por TrickBot, deben examinar el firmware como parte de su libro de bitácoras para garantizar la erradicación y obtener una visión general de los riesgos presentados por los adversarios que apuntan al firmware del dispositivo en su entorno específico.

Artículos relacionados

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Ransomware

¿Qué es NO MORE RANSOM?

No More Ransom es un portal en línea lanzado en julio de 2016 y una asociación público-privada creada por las

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad