Los ciberdelincuentes apuntan cada vez más a Windows, aprovechándose de vulnerabilidades en los controladores. En el segundo trimestre de 2024, el número de sistemas atacados utilizando esta técnica ha aumentado casi un 23% en comparación con el primer trimestre. Los controladores vulnerables pueden ser explotados para una amplia variedad de ataques, incluidos ransomware y Amenazas Persistentes Avanzadas (APTs, por sus siglas en inglés).

Los ciberataques que utilizan controladores vulnerables se conocen como BYOVD (Bring Your Own Vulnerable Driver, o ‘Trae tu propio controlador vulnerable’). Permiten a los actores maliciosos intentar desactivar soluciones de seguridad en un sistema y escalar privilegios, lo que les permite llevar a cabo diversas actividades maliciosas, como la instalación de ransomware o el establecimiento de persistencia para espionaje o sabotaje, especialmente si un grupo de APT está detrás del ataque.

Kaspersky informa de que esta técnica de ataque se aceleró en 2023 y actualmente está ganando impulso, con un impacto potencial tanto en individuos como en organizaciones. En el segundo trimestre de 2024, el número de sistemas atacados con la técnica BYOVD aumentó casi un 23% en comparación con el trimestre anterior.

“Aunque los controladores en sí son legítimos, pueden contener vulnerabilidades. Éstas pueden ser explotadas con fines maliciosos. En este sentido, los ciberdelincuentes utilizan varias herramientas y métodos para instalar un controlador vulnerable en el sistema. Una vez que el sistema operativo carga este controlador, el atacante puede explotarlo para eludir las barreras de seguridad del núcleo del sistema operativo para sus propios fines”, explica Vladimir Kuskov, jefe de Investigación Antimalware en Kaspersky.

Un aspecto preocupante de esta tendencia es la proliferación de herramientas que se aprovechan de los controladores vulnerables y que pueden encontrarse online. Aunque son pocas las herramientas existen en 2024 -solo se han publicado 24 proyectos desde 2021- los expertos de Kaspersky han observado un aumento en el número de estas herramientas publicadas online el año pasado. “Aunque nada realmente impide que los actores de amenazas desarrollen sus propias herramientas, las que están disponibles públicamente eliminan la necesidad de tener habilidades específicas para investigar y explotar controladores vulnerables. Solo en 2023, identificamos aproximadamente 16 nuevas herramientas de este tipo, lo que indica un aumento sustancial en comparación con una o dos que observamos en años anteriores. Dado este incremento, es altamente recomendable implementar medidas de protección sólidas para cualquier sistema”, añade Kuskov.

Para contrarrestar las amenazas relacionadas con la explotación de controladores vulnerables, Kaspersky recomienda tomar las siguientes medidas:

• Comprende a fondo tu infraestructura y monitoriza de cerca tus activos, enfocándote en el perímetro.
• Para proteger a la empresa contra una amplia gama de amenazas, utiliza soluciones de la línea de productos Kaspersky Next: proporciona protección en tiempo real, visibilidad de amenazas, capacidades de investigación y respuesta de EDR y XDR para organizaciones de cualquier tamaño e industria, así como protección contra la explotación de controladores vulnerables.
• Implementa un proceso de gestión de parches para detectar software vulnerable dentro de la infraestructura e instalar rápidamente parches de seguridad. Soluciones como Kaspersky Endpoint Security y Kaspersky Vulnerability Data Feed pueden ayudarte en este sentido.
• Realiza evaluaciones de seguridad periódicas para identificar y corregir vulnerabilidades antes de que se conviertan en un punto de entrada para un atacante.