Ángel Salazar, Gerente de Ingeniería de Seguridad de Canales para Latino América de Check Point Software
Check Point Research detecta un ataque masivo mediante la explotación de drivers de Microsoft que evaden las medidas de seguridad de Windows.

• El 75 por ciento de los sistemas comprometidos pertenecían a empresas ubicadas en China
• Análisis conductual, escaneo heurístico, comprobación de integridad de drivers para identificar actividades sospechosas y una estrategia de seguridad orientada a la prevención son las claves para mantenerse a salvo de este tipo de amenazas.

Bogotá.— Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y especialista global en soluciones de ciberseguridad, alertar sobre cómo los atacantes explotan vulnerabilidades en drivers (controladores) y componentes que operan en modo kernel (ejecutar procesos o software dentro de la parte central del sistema operativo).

En 2015, Microsoft creó una política que obligaba a firmar digitalmente todos los nuevos drivers para evitar su explotación, pero permitía la ejecución de los creados antes de 2015, brecha que aprovecharon los atacantes. Concretamente, se explotó una versión antigua del driver Truesight.sys (versión 2.0.2), conocido por contener vulnerabilidades en versiones posteriores.

Para evadir aún más la detección, los atacantes generaron 2.500 variantes del driver 2.0.2, cambiando pequeñas partes de su estructura para modificar su hash, aunque mantuvieron la validez de la firma digital. Esto garantizaba que, si una variante era detectada, las demás quedaban libres. Los atacantes usaron infraestructura alojada en la región China de un proveedor de nube pública. Cerca del 75 por ciento de los sistemas comprometidos pertenecían a empresas ubicadas en China, mientras que el resto estaban ubicados en otras partes de Asia como Singapur y Taiwán.

“Este ataque pone de manifiesto lo rápido que evolucionan las amenazas en ciberseguridad. Cada día nos enfrentamos a métodos más ingeniosos y sofisticados que buscan nuevas vías para vulnerar sistemas. El uso de drivers antiguos y vulnerables, capaces de burlar nuestros sistemas actuales, resalta lo importante que es mantenerse siempre un paso adelante con estrategias proactivas y avanzadas”, alerta Ángel Salazar, Gerente de Ingeniería de Seguridad de Canales para Latino América de Check Point Software.

Los investigadores de Check Point Research detectaron el ataque e informaron al Centro de Respuesta de Seguridad de Microsoft. Posteriormente, Microsoft ha actualizado la Microsoft Vulnerable Driver Blocklist (lista de bloqueo de drivers vulnerables), incluyendo la versión 2.0.2 del driver Truesight.sys. Esta actualización, realizada el 17 de diciembre de 2024, ha bloqueado eficazmente todas las variantes del driver explotadas en esta campaña. Desde Check Point Research quieren señalar lo que este ataque ha permitido hacer a los ciberdelincuentes:

• Desactivar productos de seguridad en los sistemas afectados.
• Distribuir malware mediante campañas de phishing.
• Tomar el control total de los dispositivos comprometidos, obteniendo acceso no autorizado para el robo de datos, vigilancia y manipulación de sistemas.

En relación a las similitudes con muestras previas y patrones históricos de objetivos, Check Point Research establece con una confianza media-alta que esta campaña podría estar vinculada al grupo Silver Fox. Ante esta situación los investigadores quieren señalar ciertas recomendaciones:

• Es crucial ir más allá de la detección basada en firmas, usando análisis conductual, escaneo heurístico y comprobación de integridad de drivers para identificar actividades sospechosas.
• Es fundamental una estrategia de seguridad orientada a la prevención, detectando las amenazas antes de que puedan afectar los sistemas.

Foto: Check Point Software