AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Akira Ransomware Utiliza un Controlador Legítimo de Intel para Desactivar Microsoft Defender y EDRs

admin

#### Introducción

En la evolución constante de las técnicas ofensivas utilizadas por los operadores de ransomware, destaca una nueva táctica atribuida al grupo Akira. Según recientes investigaciones, este grupo ha comenzado a explotar un controlador legítimo de Intel, originalmente diseñado para el ajuste de CPU, con el objetivo de desactivar mecanismos de defensa críticos como Microsoft Defender y diversas soluciones EDR (Endpoint Detection and Response). Este giro sofisticado en la cadena de ataque representa una amenaza significativa para empresas y organismos, ya que aprovecha componentes de confianza para evadir la detección y maximizar el impacto del ataque.

#### Contexto del Incidente

Akira es un ransomware relativamente reciente, activo desde mediados de 2023, y responsable de múltiples ataques a organizaciones de distintos sectores a nivel global. Su modus operandi incluye la doble extorsión: cifrado de datos y amenaza de publicación de información sensible. La novedad en su arsenal radica en el uso indebido de controladores legítimos para modificar el kernel de Windows y así neutralizar las defensas del sistema antes de ejecutar el payload de cifrado.

El controlador en cuestión pertenece a la herramienta Intel Extreme Tuning Utility (XTU), habitualmente utilizada por entusiastas y administradores para ajustar parámetros del procesador. Sin embargo, Akira ha identificado que dicho driver, bajo ciertas condiciones, permite la manipulación de privilegios y la desactivación de procesos críticos de seguridad.

#### Detalles Técnicos

El componente técnico central del ataque es el controlador `IntelDriver.sys`, firmado digitalmente por Intel y distribuido con versiones legítimas de Intel XTU. El exploit aprovecha la capacidad del controlador para ejecutar instrucciones con privilegios elevados en el kernel, permitiendo a los atacantes:

– Deshabilitar servicios y procesos asociados a Microsoft Defender (`MsMpEng.exe`) y EDRs populares.
– Modificar políticas de integridad y protección de aplicaciones a nivel kernel.
– Eludir mecanismos de protección como Tamper Protection y control de aplicaciones de Windows Defender.

La técnica se encuadra en el marco MITRE ATT&CK bajo los identificadores **T1562.001 (Impair Defenses: Disable or Modify Tools)** y **T1068 (Exploitation for Privilege Escalation)**. Los artefactos e Indicadores de Compromiso (IoCs) incluyen la presencia del driver Intel en sistemas donde no corresponde, modificaciones sospechosas en los registros de eventos de Windows y cargas anómalas en la memoria del kernel.

Actualmente, se han detectado cargas de este controlador en máquinas Windows 10 y Windows 11 (ambas en versiones de 64 bits), con exploits conocidos publicados en repositorios públicos y utilizados a través de frameworks como Metasploit y Cobalt Strike. No existe, hasta la fecha, un CVE específico asignado al abuso de este driver en el contexto de Akira, aunque sí existen reportes de abuso de drivers firmados (“Bring Your Own Vulnerable Driver” – BYOVD).

#### Impacto y Riesgos

El impacto de esta técnica es considerable:

– **Evasión Completa de Defensas:** Al operar en modo kernel, el atacante puede desactivar o manipular completamente herramientas de protección sin generar alertas inmediatas.
– **Escalado de Privilegios:** Permite al atacante obtener permisos SYSTEM y controlar la máquina a bajo nivel.
– **Persistencia y Movimiento Lateral:** Facilita la implantación de otros controladores o rootkits, complicando la remediación posterior.
– **Compromiso de Cumplimiento Legal:** Incumplimiento de regulaciones como el **GDPR** y **NIS2**, al posibilitar exfiltración y filtrado de datos sensibles sin detección.

Según estimaciones recientes, hasta un 15% de las intrusiones de ransomware en el primer semestre de 2024 han involucrado técnicas BYOVD, lo que representa un crecimiento del 40% respecto al año anterior. Las pérdidas económicas asociadas a incidentes con evasión de EDR superan los 2.500 millones de dólares anuales.

#### Medidas de Mitigación y Recomendaciones

Para mitigar este vector de ataque, los expertos recomiendan:

– **Restricción de Instalación de Drivers:** Limitar la capacidad de los usuarios y aplicaciones para instalar controladores no autorizados.
– **Actualización y Control de Inventario:** Mantener un inventario actualizado de drivers y herramientas legítimas en los endpoints.
– **Monitorización de Cargas de Kernel:** Utilizar soluciones avanzadas de monitorización que detecten cargas inusuales de drivers, especialmente aquellos firmados pero no esperados en el entorno.
– **Políticas de Aplicación de Controladores (WDAC):** Implementar Windows Defender Application Control para restringir la carga de controladores no aprobados.
– **Auditoría y Respuesta:** Revisar logs de eventos y habilitar alertas ante modificaciones de servicios de seguridad.

#### Opinión de Expertos

David Álvarez, analista principal de amenazas en una consultora europea, comenta: “El abuso de controladores legítimos firmados es una tendencia en alza. La firma digital ya no es garantía de seguridad, y los equipos de defensa deben evolucionar hacia modelos de confianza cero no solo en software de usuario, sino también en componentes del kernel”.

Por su parte, la Agencia de la Unión Europea para la Ciberseguridad (ENISA) ha alertado sobre la proliferación de ataques BYOVD y recomienda endurecer la validación y el inventario de drivers en infraestructuras críticas.

#### Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar sus procedimientos de gestión de drivers y endurecer la política de administración de endpoints. Los usuarios con privilegios administrativos representan un riesgo si pueden instalar herramientas como Intel XTU fuera de un contexto controlado. Además, los responsables de cumplimiento deben tener en cuenta que la evasión de EDR puede retrasar la detección de brechas, aumentando el daño y la exposición legal.

#### Conclusiones

La sofisticación del grupo Akira al explotar un controlador legítimo de Intel para desactivar Microsoft Defender y EDRs demuestra que la superficie de ataque se amplía más allá del software malicioso tradicional. La defensa efectiva requiere una combinación de control estricto de componentes del sistema, monitorización avanzada y una estrategia de respuesta rápida ante anomalías en la carga de drivers. Es imperativo que los equipos de seguridad revisen sus políticas y capacidades técnicas para afrontar esta nueva generación de ataques.

(Fuente: www.bleepingcomputer.com)