Seguridad Informática para Empresas – Servicios de Ciberseguridad

LOJAX, un virus casi imposible de eliminar

Carlos Molina Guadaño // 16 de octubre de 2018 

Virus R3 CyberSecurity

¿Qué es LOJAX?

Actualmente nos encontramos en una era de innovación tecnológica constante. La cual se ve continuamente afectada por la aparición de nuevos malwares que atacan y afectan a los dispositivos que utilizamos habitualmente. Un ejemplo de ello es LOJAX.

Este nuevo malware ha sido desarrollado por los Fancy Bear, un grupo de hackers famosos en Rusia. Consiste en un rootkit UEFI la cual infecta la UEFI de cualquier sistema operativo y pasa totalmente desapercibido para los antivirus. Este malware a diferencia del resto es capaz de infectar el equipo insistentemente, ya que se aloja en la placa base.

Así mismo, se utiliza para atacar organizaciones gubernamentales en los Balcanes, así como en Europa Central y Oriental.

Virus R3 CyberSecurity

¿Cómo actúa este malware?

Como mencionábamos anteriormente, el problema principal de este malware es que es muy difícil de identificar, ya que vive en el UEFI (Unified Extensible Firmware Interface).

UEFI es la versión actualizada de BIOS, y es la parte del sistema que controla el proceso de arranque del ordenador. Es decir, la pantalla negra que aparece al encender el ordenador, móvil, etc. Lo que permite poder instalar un sistema operativo en él.

Lo que hace Lojax, una vez que consigue ejecutarse en el ordenador de la víctima, modifica la UEFI del mismo. Uno de los lugares menos sospechosos del equipo en los que uno espera encontrarse un malware.

Lo peligroso de este virus es que una vez modificado el UEFI, se ejecutará durante el inicio del sistema, haciéndolo casi imperceptible e incluso indestructible, pues sobrevivirá, aunque se reemplace el disco duro o se reinstale el sistema operativo.

Los investigadores creen que LoJax es una variación del sistema antirrobo LoJack. La intención es proteger a los equipos e indicar al usuario donde está en caso de ser sustraído. Por eso mismo, era importante que resista la reinstalación del sistema operativo o el reemplazo del disco duro. Lo que se logra precisamente al ser implementado como un módulo UEFI/BIOS, capaz de sobrevivir ese tipo de acciones.

¿Cómo podemos proteger nuestros equipos de LoJax y de otros rootkit UEFI?

Habitualmente formatear o restablecer los valores de fábrica del dispositivo suele ser la mejor manera de eliminar un malware. Pero en este caso no dará resultado.

El primer paso y el más difícil es detectar el malware. Lo único que comenzará a notar el usuario será una ralentización del sistema y de la conexión a internet.

Según la teoría, para eliminar LoJax se tendrá que iniciar el ordenador en modo seguro. De esta forma, el sistema se asegura que cada uno de los componentes del firmware se inician correctamente firmados.

El segundo paso sería la instalación de una actualización del firmware de UEFI. Esto no es nada sencillo, ya que debe hacerla el propietario de dicho elemento contra el malware. Es decir, no lo puede hacer el usuario, sino los responsables de UEFI/BIOS (el proveedor).

Posteriormente se debe actualizar y eso tiene otra serie de inconvenientes, como posibles incompatibilidades.

Por último, si el problema persiste. La solución más eficaz, aunque la más difícil, sería la sustitución de la placa madre, considerada el corazón del ordenador. Teniendo en cuenta que este proceso lo debe llevar a cabo el proveedor de UEFI/BIOS.

Carlos Molina Guadaño | Marketing Digital Assistant R3 CyberSecurity

Desde R3 CyberSecurity esclarecemos que dichos ataques tienen como objetivo grandes compañias u organizaciones públicas. 

Finalmente mencionar que Lojax es algo aislado. pero es posible que ahora otros hackers malintencionados intenten utilizar malwares similares para entrar en los equipos.

Comparte el post con tus amigos

CON LA CONFIANZA DE

logos2

ÚNETE AL EQUIPO

Conoce todas las oportunidades profesionales que te permitirán alcanzar tus metas personales.

R3 Ciberseguridad

© R3 CyberSecurity