Un an\u00e1lisis de chats filtrados del notorio grupo de ransomware Conti a principios de este a\u00f1o revel\u00f3 que el sindicato ha estado trabajando en un conjunto de t\u00e9cnicas de ataque de firmware que podr\u00edan ofrecer una ruta para acceder a c\u00f3digo privilegiado en dispositivos comprometidos.<\/p>\n
“El control sobre el firmware otorga a los atacantes poderes pr\u00e1cticamente inigualables tanto para causar da\u00f1os directamente como para permitir otros objetivos estrat\u00e9gicos a largo plazo”, firma de seguridad de firmware y hardware Eclypsium. dijo<\/a> en un informe compartido con The Hacker News.<\/p>\n “Tal nivel de acceso permitir\u00eda a un adversario causar un da\u00f1o irreparable a un sistema o establecer una persistencia continua que es virtualmente invisible para el sistema operativo”.<\/p>\n Espec\u00edficamente, esto incluye ataques dirigidos a microcontroladores integrados como Intel Motor de gesti\u00f3n<\/a> (YO<\/a>), un componente privilegiado que forma parte de los conjuntos de chips del procesador de la empresa y que puede eludir por completo el sistema operativo.<\/p>\n Vale la pena se\u00f1alar que la raz\u00f3n de este enfoque evolutivo no es que haya nuevas vulnerabilidades de seguridad en los conjuntos de chips de Intel, sino que se basa en la posibilidad de que “las organizaciones no actualicen el firmware de sus conjuntos de chips con la misma regularidad que lo hacen con su software o incluso con la misma frecuencia”. Firmware del sistema UEFI\/BIOS”. <\/p>\n Las conversaciones entre los miembros de Conti, que se filtraron despu\u00e9s de que el grupo prometiera su apoyo a Rusia en la invasi\u00f3n de Ucrania por parte de este \u00faltimo, han arrojado luz sobre los intentos del sindicato de explotar vulnerabilidades relacionadas con el firmware ME y la protecci\u00f3n contra escritura del BIOS.<\/p>\n Esto implic\u00f3 encontrar vulnerabilidades y comandos no documentados en la interfaz de ME, lograr la ejecuci\u00f3n de c\u00f3digo en ME para acceder y reescribir la memoria flash SPI, y descartar los implantes de nivel de Modo de administraci\u00f3n del sistema (SMM), que podr\u00edan aprovecharse para incluso modificar el kernel.<\/p>\n La investigaci\u00f3n finalmente se manifest\u00f3 en forma de un c\u00f3digo de prueba de concepto (PoC) en junio de 2021 que puede obtener la ejecuci\u00f3n del c\u00f3digo SMM al obtener el control del ME despu\u00e9s de obtener acceso inicial al host por medio de vectores tradicionales como phishing, malware, o un compromiso de la cadena de suministro, muestran los chats filtrados.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/Investigadores-encuentran-nuevos-ataques-de-malware-dirigidos-a-entidades-gubernamentales.png\")
<\/a><\/div>\n![\"Grupo](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1654301630_216_Las-fugas-de-Conti-revelan-el-interes-de-la-banda.jpg\" "\\"Grupo")
<\/div>\n![\"Grupo](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1654301630_591_Las-fugas-de-Conti-revelan-el-interes-de-la-banda.jpg\" "\\"Grupo")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n