Seguridad
Los ciberataques que explotan controladores vulnerables, conocidos como BYOVD (Bring Your Own Vulnerable Driver, o “Trae tu propio controlador vulnerable”), permiten a los atacantes desactivar soluciones de seguridad y escalar privilegios en un sistema. Esta técnica les da la capacidad de llevar a cabo actividades maliciosas, como instalar ransomware o establecer persistencia para espionaje o sabotaje, particularmente si un grupo de amenazas avanzadas persistentes (APT) está involucrado en el ataque.
Kaspersky ha observado que esta táctica se aceleró en 2023 y sigue ganando tracción, afectando tanto a personas como a organizaciones. En el segundo trimestre de 2024, los ataques utilizando la técnica BYOVD aumentaron en casi un 23% en comparación con el trimestre anterior.
¿Cómo eluden las barreras de seguridad?
Vladimir Kuskov, Jefe de Investigación Antimalware en Kaspersky, explica que “aunque los controladores son legítimos, pueden tener vulnerabilidades que los ciberdelincuentes pueden aprovechar con fines maliciosos. Los atacantes utilizan diversas herramientas y métodos para instalar un controlador vulnerable en el sistema, y una vez que el sistema operativo lo carga, pueden explotarlo para eludir las barreras de seguridad del núcleo del sistema".
La importancia de crear medidas de protección robustas
Lo preocupante es que están surgiendo más herramientas que facilitan el uso de controladores vulnerables y muchas de ellas están disponibles en línea. Aunque solo se han publicado 24 proyectos de este tipo desde 2021, Kaspersky ha visto un aumento en el número de estas herramientas en 2023. Kuskov señala que "si bien los actores maliciosos pueden desarrollar sus propias herramientas, las que ya están disponibles en línea eliminan la necesidad de tener habilidades avanzadas para explotar controladores vulnerables. En 2023, detectamos 16 nuevas herramientas, lo que muestra un crecimiento significativo en comparación con los años anteriores. Es crucial implementar medidas de protección robustas en los sistemas."
Medidas recomendadas por Kaspersky para mitigar las amenazas de BYOVD
- Conocer bien la infraestructura y monitorear de cerca los activos, con especial atención al perímetro.
- Utilizar soluciones de Kaspersky Next para obtener protección en tiempo real, visibilidad de amenazas, y capacidades de investigación y respuesta (EDR y XDR) que protegen contra la explotación de controladores vulnerables.
- Implementar una gestión de parches eficiente para detectar software vulnerable e instalar rápidamente las actualizaciones de seguridad necesarias. Herramientas como Kaspersky Endpoint Security y Kaspersky Vulnerability Data Feed son útiles para este propósito.
- Realizar evaluaciones de seguridad frecuentes para identificar y corregir vulnerabilidades antes de que sean explotadas por atacantes.
Mayoristas Recomendados