Explotan vulnerabilidad de GIGABYTE para distribuir ransomware

Se ha detectado una nueva forma de distribución de ransomware la cual explota una vulnerabilidad presente en los driver de hardware de la empresa GIGABYTE, logrando instalar en sistemas Windows controladores maliciosos sin firma digital a través de una detención forzada de los procesos de seguridad y antivirus.

La mayoría de los procesos de software de seguridad en Windows están protegidos, vale decir, que solo pueden ser terminados por los controladores de Kernel. Además, Microsoft añadió una política de firma de controladores que impide la instalación de controladores del kernel de Windows a menos que estos sean firmados por Microsoft. Esto impide que atacantes logren instalar controladores maliciosos y obtener privilegios superiores sin que Microsoft los revise primero. Sin embargo, la vulnerabilidad presente desde 2018 logra eludir los controles de seguridad antes mencionados.

Los productos afectados de GIGABYTE son:

• GIGABYTE APP Center v1.05.21 y anteriores
• AORUS GRAPHICS ENGINE versiones anteriores a v.1.57
• XTREME GAMING ENGINE versiones anteriores a v.1.26
• OC GURU II versiones anteriores a v.2.08 

Se recomienda lo siguiente:

• Actualizar los equipos con Windows a las últimas versiones.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Evitar visitar sitios web inseguros, así como la descarga de software ilegal ya que existe una alta probabilidad que puedan infectarse por algún malware.
• Tener activado el UAC (Control de Cuentas de Usuario) de Windows.