Supuestamente, un nuevo y raro tipo de malware está disponible en el mercado negro, que contiene características generalmente reservadas para herramientas de piratería utilizadas por los estados que hacen que sea casi imposible de detectar para cualquier software antivirus.
Conocido como BlackLotus, se afirma que el malware es un bootkit de interfaz de firmware extensible unificada (UEFI). UEFI es el estándar informático que actúa como interfaz entre el sistema operativo y el firmware; cuando enciende su computadora, UEFI inicia un cargador de arranque, que a su vez inicia el kernel y el sistema operativo.
Al cargarse en el estado de arranque inicial, el malware se incrusta en el firmware de un sistema, lo que le permite eludir todas las comprobaciones de seguridad del software antivirus y, por lo tanto, permanecer sin ser detectado.
Características de peso pesado
En un foro de malware en línea donde las licencias de BlackLotus aparentemente se venden por $ 5,000 cada una, el vendedor afirma que incluso Safe Boot no frustrará la herramienta, ya que se emplea un cargador de arranque vulnerable. Además, comentaron que agregar este cargador de arranque al Lista de revocación de UEFI (se abre en una pestaña nueva) no resolvería el problema, ya que actualmente hay cientos de otros con la misma vulnerabilidad que se pueden usar en su lugar.
Otro atributo que hace que BlackLotus sea tan potencialmente peligroso es su aparente protección Ring 0/kernel. Las computadoras funcionan utilizando anillos de protección que compartimentan el sistema en diferentes niveles según cuán fundamentales sean para el funcionamiento de la máquina, a fin de evitar que posibles amenazas y fallas se filtren a otras partes.
Obtener acceso a través de estos anillos se vuelve cada vez más difícil. El núcleo es Ring 0, que contiene el kernel: esto es lo que conecta su software con su hardware. Este anillo representa el nivel más alto de protección en términos de acceso, por lo que si BlackLotus realmente tiene protección de anillo 0, sería extremadamente difícil deshacerse de él.
El vendedor también afirmó que BlackLotus tiene la capacidad de deshabilitar Windows Defender y viene con anti-depuración para evitar la detección de escaneos de malware.
Ya no está en manos del Estado
Los expertos advierten que el malware de la escala de BlackLotus ya no es competencia exclusiva de los gobiernos y los estados. Sergey Lozhkin, el principal investigador de seguridad de Kaspersky declaró (se abre en una pestaña nueva)«Estas amenazas y tecnologías antes solo eran accesibles para personas que estaban desarrollando amenazas persistentes avanzadas, en su mayoría gobiernos. Ahora este tipo de herramientas están en manos de delincuentes en todos los foros».
El año pasado, otro kit de arranque UEFI conocido como ESPecter fue descubierto y aparentemente había sido diseñado hace al menos 10 años para su uso en sistemas BIOS, el precursor de UEFI. Su disponibilidad fuera de los grupos estatales sigue siendo muy rara, al menos por ahora.
Otro experto en seguridad, el CTO de Eclypsium, Scott Scheferman, trató de atenuar las preocupaciones diciendo que aún no podían estar seguros de las supuestas afirmaciones de BlackLotus, y sostuvo que si bien puede representar un avance en términos de facilidad de acceso a herramientas tan poderosas, todavía puede estar en sus etapas iniciales de producción y no funcionar tan eficazmente como se afirma.
Independientemente, la marcha del progreso avanza muy rápido en el mundo de los ciberdelincuentes, y si se pueden obtener ganancias de la producción y el uso de software malicioso tan poderoso, entonces no habrá escasez de demanda para su desarrollo y mejora. Una vez que el gato está fuera de la bolsa, es muy difícil volver a colocarlo.