Reconocida banda de ransomware intentó vulnerar el firmware de Intel
Los investigadores que analizaron los chats filtrados de la notoria banda de ransomware Conti encontraron información sorprendente. Ellos han descubierto que los equipos dentro del grupo ruso de ciberdelincuencia estaban planeando realizar ataques de firmware.
De acuerdo con los mensajes intercambiados entre los miembros del grupo de crimen cibernético, los desarrolladores de Conti habían creado un código de prueba de concepto (PoC). Este PoC aprovechaba el Management Engine (ME) de Intel para sobrescribir flash y obtener la ejecución SMM (Modo de Gerencia de Sistema).
El ME es un microcontrolador integrado dentro de los conjuntos de chips Intel que ejecutan un micro sistema operativo para proporcionar servicios fuera de banda. Conti estaba revisando ese componente para encontrar funciones y comandos no documentados que pudieran aprovechar.
A partir de ahí, Conti podía acceder a la memoria flash que alojaba el firmware UEFI/BIOS. Además, podrían eludir las protecciones contra escritura y realizar la ejecución de código arbitrario en el sistema comprometido.
El objetivo final sería instalar un implante SMM que se ejecutaría con los privilegios de sistema más altos posibles (anillo-0) mientras que era prácticamente indetectable desde las herramientas de seguridad a nivel del sistema operativo.
Es importante tener en cuenta que, a diferencia del módulo de TrickBot que se enfocó en las vulnerabilidades de firmware de UEFI, lo que ayudó a las infecciones de Conti y luego las llevó a cabo el grupo de ransomware, los nuevos hallazgos indican que los ingenieros maliciosos se esforzaron por descubrir nuevas vulnerabilidades desconocidas en ME.
Ataques de firmware en ransomware
Para que sea posible un ataque de firmware, los atacantes de ransomware primero tendrían que acceder al sistema a través de una vía común. Por ejemplo, podrían usar phishing, explotar una vulnerabilidad o realizar un ataque a la cadena de suministro.
Después de comprometer el ME, los atacantes tendrían que seguir un plan de ataque basado en las regiones de “protección sin escritura” a las que podrían acceder. Esto según la implementación del ME y varias restricciones/protecciones.
Eclypsium dice que estos podrían ser acceso para sobrescribir el descriptor SPI y mover el UEFI/BIOS fuera del área protegida o acceso directo a la región del BIOS.
También existe el escenario de que ME no tenga acceso a ninguno de los dos. En este caso los atacantes podrían aprovechar el Management Engine de Intel para forzar un arranque desde medios virtuales y desbloquear las protecciones PCH que sustentan el controlador SPI.
Conti podría usar este flujo de ataque para bloquear los sistemas de forma permanente. En otras palabras, obtener la máxima persistencia, evadir las detecciones de antivirus y EDR y eludir todos los controles de seguridad en la capa del sistema operativo.
Conti se ha ido, pero el código sigue vivo
Si bien la banda Conti parece haberse cerrado, muchos de sus miembros se han trasladado a otras bandas de ransomware donde continúan realizando ataques.
Esto también significa que todo el trabajo realizado para desarrollar exploits como el detectado por Eclypsium en los chats filtrados seguirá existiendo.
Como explican los investigadores, Conti tenía un PoC en funcionamiento para estos ataques desde el año pasado. Es decir, es probable que ya tuvieran la oportunidad de emplearlo en ataques reales.
La conocida banda podría regresar con un nuevo nombre y los principales miembros podrían unirse a otras bandas de ransomware. En términos generales, las vulnerabilidades se seguirán utilizando.
Para protegerte de las amenazas, debes aplicar las actualizaciones de firmware disponibles para tu hardware. Asimismo, monitorear el ME en busca de cambios de configuración y verificarla integridad del flash SPI con regularidad.