Blog de WatchGuard

¿Cómo frenar un ataque de Rootkit antes de que sea demasiado tarde?

Los rootkits son un tipo de malware que ayuda a los ciberdelincuentes a infiltrarse en un sistema y tomar el control. Al utilizarlo pueden llevar a cabo acciones de espionaje, robo de datos, despliegue de otros malware como el ransomware y, además, sin dejar rastro. Una vez que el rootkit es implantado en un dispositivo, puede interceptar las llamadas del sistema, sustituir el software y los procesos y también formar parte de un kit de explotación más amplio que contenga otros módulos como keyloggers, malware de robo de datos o, incluso, malware para minar criptomonedas.

Sin embargo, este tipo de programas son difíciles de desarrollar, lo que quiere decir que necesitan de una inversión de tiempo y dinero para crearlos. De modo que, la mayoría de los ataques basados en rootkits suelen asociarse a grupos de amenazas persistentes avanzadas (ATP), ya que cuentan con los recursos y las habilidades necesarias para desarrollar esta forma de malware. En este sentido, los objetivos de este tipo de ataque suelen ser de alto valor, tanto para casos donde la motivación es estrictamente financiera como para aquellos que se dedican a labores de espionaje.

En un estudio que analizaba la evolución y el uso de rootkits para llevar a cabo ciberataques se reveló que en el 56% de los casos los criminales usan este software para atacar individuos de perfiles relevantes como funcionarios de alto rango, diplomáticos o empleado de organizaciones atractivas para los atacantes. En cuanto a los sectores que más reciben estas amenazas, en primer lugar se encuentran las instituciones gubernamentales (44%), seguido por institutos de investigación (38%), operadores de telecomunicaciones (25%), empresas industriales (19%) y organizaciones financieras (19%).

Por otra parte, el estudio también evidenciaba que los rootkits suelen propagarse a través de tácticas de ingeniería social, especialmente con el uso del phishing (69%) y a través de la explotación de vulnerabilidades (62%).

Tipos de Rootkit

Existen tres tipos de rootkits que se clasifican según nivel de privilegios obtenidos, estos son:

  • Rootkits en modo kernel: este tipo de rootkit opera a nivel del kernel, por lo que tiene los mismos privilegios que el sistema operativo. Se diseñan como controladores de dispositivos o módulos cargables y su desarrollo es complicado, ya que un error en el código fuente puede afectar la estabilidad del sistema, haciendo que el malware sea evidente.
  • Rootkits en modo usuario: su desarrollo es más sencillo que el anterior, ya que su diseño requiere menos precisión y conocimientos, por lo que suelen utilizarse en ataques masivos. Estos rootkits operan con menos privilegios, aunque pueden interceptar las llamadas al sistema y sustituir los valores devueltos por las API y las aplicaciones para obtener el control de la máquina.
  • Rootkits combinados: este tipo de rootkits se diseñan con la finalidad de combinar ambos modos de funcionamiento y, por tanto, actúan en ambos niveles.

Durante el otoño de 2021 el grupo norcoreano Lazarus realizó una campaña de despliegue de rootkit que tenía como objetivo un empleado de una empresa aeroespacial en los Países Bajos, y un periodista político en Bélgica. En este caso, ambos objetivos fueron contactados con oportunidades de empleo para una prestigiosa compañía y les enviaron documentos adjuntos con la supuesta oferta laboral. Uno de ellos, lo recibió a través de LinkedIn y, el otro, por correo electrónico. Sin embargo, al abrir los archivos se desencadenaron una serie de ataques. Según los investigadores de este caso, que revelaron sus conclusiones en septiembre de este año, lo más destacable de los ataques fue un módulo de rootkit que aprovechaba una vulnerabilidad en los controladores de los dispositivos Dell para obtener la capacidad de leer y escribir en la memoria del kernel.

¿Cómo proteger tu empresa ante este tipo de ataques?

A pesar de que este tipo de amenazas están pensadas para evitar ser detectadas, existen soluciones capaces de, no solo detectarlo, sino contenerlo y bloquearlo. Los dispositivos Firebox de WatchGuard son una avanzada plataforma integral de seguridad de red que incluyen tres funciones sofisticadas capaces de identificar y detener este malware:

  • APT Blocker: esta tecnología de “sandbox” es capaz de detectar el rootkit incluso antes de que infiltre el sistema, ya que analiza el comportamiento para determinar si un archivo es malintencionado al identificar y enviar los archivos sospechosos a una sandbox basada en la nube que emula la ejecución y analiza el código del archivo para determinar si es maligno. En caso de serlo, actúa y lo bloquea asegurando la red.
  • Defensa contra malware impulsado por la inteligencia artificial: está pensada para identificar amenazas al dividir millones de archivos en sus componentes fundamentales, y luego analizar las características de cada uno en combinación con la finalidad de identificar indicadores de intenciones maliciosas. Si se detecta un malware, el archivo se bloquea antes de que sea ejecutado.
  • Visibilidad en la nube: con los ataques de rootkit es importante tener una visibilidad completa de la red que permita analizarla en busca de anomalías. Con esto, es posible explorar en profundidad según la información detallada de los reportes generados por la plataforma.

Es evidente que los cibercriminales tienen un gran ingenio a la hora de llevar a cabo un ataque tan sofisticado como este, pero eso no significa que no pueda ser frustrado. Lo importante es proteger las redes empresariales con soluciones adecuadas que sean capaces de detener los ataques de rootkit antes de que sea demasiado tarde.