Trickboot es el nombre que le han puesto a esta nueva funcionalidad que ha implementado el malware Trickbot. Esta nueva característica le permite a Trickbot aprovechar una vulnerabilidad en el sistema UEFI para generar una persistencia continua en el sistema operativo desde la BIOS, provocando que el formateo del equipo o instalar una unidad clonada no sea eficiente para la eliminación de Trickbot en el sistema.
Esta nueva característica prepara el equipo para que los operadores de Trickbot realicen medidas más efectivas para mantener la persistencia en el equipo. Como lo es la instalación de implantes de firmware y puertas traseras o la destrucción de un dispositivo específico. Es muy posible que diferentes actores de amenazas (APT) ya estén explotando estas vulnerabilidades contra objetivos de alto valor.
Trickbot ha demostrado ser una de las piezas de malware más adaptables, como interesantes de este ultimo tiempo, incorporando regularmente nuevas funciones para escalar privilegios, extenderse a nuevos dispositivos y mantener la persistencia en el host. La adición de la funcionalidad UEFI marca un avance importante en esta evolución continua al extender su enfoque más allá del sistema operativo del dispositivo a capas inferiores que a menudo no son inspeccionadas por los productos relacionados en seguridad y los investigadores.
Los operadores están motivados económicamente y utilizan la botnet para entregar el ransomware Ryuk y Conti en máquinas de alto valor. Desde 2018, ganaron al menos $150 millones de dólares. Tras un caso registrado recientemente, tomaron al rededor de 2.200 BTC (valorados en $34 millones de dólares en ese momento).
Las ultimas actividades realizadas por TrickBot
La telemetría de AdvIntel muestra que las infecciones diarias por TrickBot entre el 3 de octubre y el 21 de noviembre alcanzaron un máximo de 40.000 maquinas, con un promedio diario de entre 200 y 4.000. Estas cifras son conservadoras ya que no cuentan los equipos infectados en redes privadas, que se comunican externamente utilizando la dirección IP de la puerta de enlace.
Recomendaciones
Dada a la gran actividad que ha estado presentendo Trickbot en este último tiempo, es importante que los equipos y/o departamentos de seguridad se aseguren de que sus dispositivos no sean vulnerables y no se hayan visto comprometidos ante esta amenaza. Las comprobaciones de la integridad del firmware son importantes para cualquier dispositivo que se sepa que ha sido comprometido por Trickbot.
Algunas de las recomendaciones son:
- Usar «dispositivo de programación flash SPI» para leer el contenido de chip de memoria SPI, siempre y cuando el sistema esté apagado. Asimismo, aconsejan usar herramientas de código abierto para analizar nuestros equipos y determinar si la protección contra escritura del BIOS está habilitada o no. Además ello, sugieren actualizar el firmware de nuestros equipos.
- Verifique la integridad del firmware comprobando los valores hash del firmware con las versiones conocidas del firmware. Supervise el comportamiento del firmware para detectar cualquier signo de implantes o modificaciones desconocidas.
- Actualice el firmware para mitigar las numerosas vulnerabilidades que se han descubierto.
- Los equipos de respuesta a incidentes (IR) que realizan análisis forenses a nivel de host en dispositivos afectados por TrickBot, deben examinar el firmware como parte de su libro de bitácoras para garantizar la erradicación y obtener una visión general de los riesgos presentados por los adversarios que apuntan al firmware del dispositivo en su entorno específico.
Artículos relacionados
- https://www.advanced-intel.com/post/persist-brick-profit-trickbot-offers-new-trickboot-uefi-focused-functionality
- https://www.bleepingcomputer.com/news/security/trickbots-new-module-aims-to-infect-your-uefi-firmware/
Threat Researcher en CronUp Ciberseguridad
Líder Red Team & Cyber Threat Intelligence.
