Se ha descubierto un nuevo y poderoso malware que se está vendiendo en foros clandestinos de cibercriminales por precios de hasta 5.000 dólares. Llamado Black Lotus, este nuevo virus, a pesar de tener solamente un tamaño de solo 80 Kb, tiene un potencial destructivo tremendo.
Además de esta peligrosidad, este nuevo malware tiene la capacidad de poder deshabilitar las soluciones de seguridad, lo que lo vuelve invisible incluso para los antivirus.
Black Lotus es una bomba invisible
El investigador de seguridad cibernética Scott Scheferman informó del peligro que tiene este Black Lotus y advierte que la disponibilidad de este bootkit en el panorama de amenazas representa una seria amenaza para las organizaciones debido a sus capacidades de evasión y persistencia.
«A principios de esta semana me llamó la atención cierta oferta de bootkit UEFI que por ahora está a la venta en foros criminales clandestinos. Se llama Black Lotus. Revisé sus características y capacidades y, desde el principio, estos son los puntos más destacados que todos los equipos azules y rojos deben tener en cuenta. Esto cuesta solo 5.000 dólares por licencia y 200 dólares más para lanzar nuevas versiones según sea necesario después de eso».
El malware es un novedoso kit de arranque UEFI para Windows que brinda capacidades APT (advanced persistent threat, amenazas persistentes avanzadas) a los actores de ciberamenazas, lo que les permite causar estragos en los sistemas comprometidos mientras evitan la detección.
Fuera del radar de los antivirus
El malware admite antivirtualización, antidepuración y ofuscación de código. Black Lotus puede deshabilitar las soluciones de seguridad, incluida la integridad del código protegido por hipervisor (HVCI), BitLocker y Windows Defender. El rootkit puede eludir las defensas de seguridad como Control de cuentas de usuario (UAC) y Secure Boot.
Para empeorar las cosas, BlackLotus podría permitir que los actores de amenazas carguen controladores no firmados en máquinas comprometidas, allanando el camino para los ataques BYOVD (Bring Your Own Vulnerable Driver).
Los kits de arranque UEFI como BlackLotus son una forma agresiva de rootkit que se inyectan en el registro de arranque maestro o en el registro de arranque de volumen de un sistema para lograr la persistencia. Dado que los bootkits están especialmente diseñados para cargarse antes que el sistema operativo, no se pueden esquivar arrancando en modo de recuperación o seguro.
«Estas amenazas y tecnologías antes solo eran accesibles para personas que estaban desarrollando amenazas persistentes avanzadas, en su mayoría gobiernos. Ahora este tipo de herramientas están en manos de delincuentes en todos los foros», ha explicado Sergey Lozhkin, investigador principal de seguridad de Kaspersky.