Aumentan un 23 % los sistemas atacados con la técnica BYOVD

Los ciberdelincuentes aprovechan todo tipo de circunstancias para introducirse en sistemas ajenos e instalar software malicioso.

Una de las técnicas en auge es BYOVD, siglas de Bring Your Own Vulnerable Driver o “trae tu propio controlador vulnerable”. Como su propio nombre indica, consiste en aprovechar controladores para desactivar soluciones de seguridad y escalar privilegios en los sistemas atacados.

Esto permite a los ciberdelincuentes instalar ransomware, por ejemplo, o actuar con amenazas persistentes avanzadas. BYOVD les permite establecer persistencia para acciones de espionaje y sabotaje.

“Aunque los controladores en sí son legítimos, pueden contener vulnerabilidades”, advierte Vladimir Kuskov, jefe de Investigación Antimalware en Kaspersky. Y estas vulnerabilidades “pueden ser explotadas con fines maliciosos”.

“En este sentido”, prosigue, “los ciberdelincuentes utilizan varias herramientas y métodos para instalar un controlador vulnerable en el sistema”.

“Una vez que el sistema operativo carga este controlador, el atacante puede explotarlo para eludir las barreras de seguridad del núcleo del sistema operativo para sus propios fines”.

Kaspersky alerta sobre la proliferación del número de herramientas que se aprovechan de controladores vulnerables y que se publican online.

Durante el segundo trimestre de este año, aumentaron cerca de un 23 % los sistemas atacados con BYOVD respecto a los tres meses anteriores.

Todavía son pocas las herramientas de esta naturaleza que se encuentran disponibles. Los expertos revelan que, desde 2021, se han publicado veinticuatro proyectos.

El caso es que los atacantes están intensificando su interés y apuntan cada vez más a dispositivos Windows.

“Aunque nada realmente impide que los actores de amenazas desarrollen sus propias herramientas, las que están disponibles públicamente eliminan la necesidad de tener habilidades específicas para investigar y explotar controladores vulnerables”, comenta Kuskov.

“Sólo en 2023, identificamos aproximadamente dieciséis nuevas herramientas de este tipo”, señala, “lo que indica un aumento sustancial en comparación con una o dos que observamos en años anteriores“.

“Dado este incremento, es altamente recomendable implementar medidas de protección sólidas para cualquier sistema”. termina el jefe de Investigación Antimalware de Kaspersky.

Usuarios y empresas pueden contrarrestar BYOVD aplicando la monitorización de activos para comprender su infraestructura. Kaspersky recomienda enfocarse en el perímetro.

También aconseja usar herramientas que apliquen protección en tiempo real, con visibilidad de amenazas y capacidades de investigación y respuesta.

Esto debe completarse con un proceso de gestión de parches para identificar software que podría causar problemas e instalar a tiempo las soluciones correspondientes.

Por último, conviene llevar a cabo evaluaciones periódicas de seguridad que permitan atajar vulnerabilidades antes de que se conviertan en un quebradero de cabeza mayor.