AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Investigadores descubren una variante UEFI de Petya/NotPetya que explota CVE-2024-7344**

admin

### Introducción

En el panorama actual de ciberamenazas, la sofisticación de los ataques dirigidos contra la infraestructura crítica no deja de aumentar. La reciente detección de una variante de malware inspirada en Petya/NotPetya, diseñada para infectar el firmware UEFI y que explota la vulnerabilidad CVE-2024-7344, supone un salto cualitativo en el arsenal de los actores de amenazas. Este hallazgo, realizado por analistas de seguridad tras el análisis de una muestra subida a VirusTotal, plantea nuevos desafíos para los equipos de seguridad, ya que combina técnicas de ataque a bajo nivel con la persistencia y el alto impacto ya observados en campañas anteriores de ransomware destructivo.

### Contexto del Incidente o Vulnerabilidad

Petya y NotPetya marcaron un antes y un después en la historia del ransomware, especialmente por su capacidad para cifrar el Master Boot Record (MBR) y por su naturaleza destructiva más allá del mero cifrado de archivos. El descubrimiento de una variante que opera a nivel UEFI (Unified Extensible Firmware Interface) representa una evolución significativa; comprometer el firmware permite al atacante obtener persistencia a través de reinstalaciones del sistema operativo y elude la mayoría de las soluciones antimalware tradicionales.

La vulnerabilidad CVE-2024-7344, documentada en marzo de 2024, afecta a un subconjunto de implementaciones UEFI de fabricantes líderes, permitiendo la ejecución remota de código arbitrario en el contexto del firmware. Esta debilidad es especialmente crítica porque el firmware UEFI actúa como el eslabón inicial en la cadena de arranque, y cualquier manipulación en este nivel otorga al atacante control total sobre el dispositivo antes incluso de que el sistema operativo entre en acción.

### Detalles Técnicos

La muestra detectada, catalogada inicialmente como un «UEFI bootkit», presenta múltiples similitudes en su estructura y funcionalidad con Petya/NotPetya. La principal diferencia radica en su vector de persistencia: en lugar de sobrescribir el MBR clásico, modifica módulos del firmware UEFI, estableciendo hooks en la secuencia de arranque y cifrando las particiones de disco antes de cargar el sistema operativo.

**CVE-2024-7344** posibilita la inyección de binarios maliciosos en la NVRAM (memoria no volátil del firmware), aprovechando un fallo en la validación de firmas digitales en las actualizaciones de UEFI. El ataque utiliza técnicas de inyección similares a las documentadas en T1542.001 (MITRE ATT&CK: «Pre-OS Boot: System Firmware») y T1059 («Command and Scripting Interpreter»), permitiendo la manipulación del entorno previo al arranque.

Los Indicadores de Compromiso (IoC) identificados incluyen hashes SHA256 específicos de la muestra, modificaciones en las variables NVRAM y la presencia de bootloaders no firmados en el volumen EFI. La muestra aprovecha utilidades de scripting para la escalada de privilegios y emplea payloads empaquetados con algoritmos de cifrado RC4, dificultando su análisis estático.

Aunque no se ha confirmado la existencia de un exploit público funcional, los informes de threat intelligence sugieren que se están utilizando frameworks de explotación personalizados, si bien sería viable la adaptación de módulos en Metasploit o Cobalt Strike para automatizar el proceso en entornos corporativos vulnerables.

### Impacto y Riesgos

El impacto de esta amenaza es considerable. Al operar en el firmware UEFI, el malware sobrevive a reinstalaciones, formateos y cambios de disco duro, representando un riesgo de persistencia sin precedentes. Además, el cifrado de particiones realizado antes de la carga del sistema operativo impide la recuperación convencional de la información.

La afectación potencial es elevada: se estima que aproximadamente un 15% del parque empresarial en Europa utiliza versiones de firmware vulnerables, especialmente en hardware de fabricantes que no han aplicado los parches recientes. En términos económicos, los incidentes relacionados con infecciones UEFI pueden multiplicar por diez los costes de recuperación respecto a ataques convencionales, debido a la necesidad de reemplazo físico de placas base y la pérdida de datos críticos, lo que a su vez puede tener implicaciones directas en el cumplimiento de normativas como GDPR y NIS2.

### Medidas de Mitigación y Recomendaciones

Se recomienda la aplicación inmediata de las actualizaciones de firmware proporcionadas por los fabricantes, especialmente aquellas dirigidas a mitigar CVE-2024-7344. Es crucial habilitar Secure Boot y auditar periódicamente la integridad de los módulos EFI.

Los equipos SOC deben mantener una monitorización avanzada de los logs de arranque y buscar anomalías en la configuración de la NVRAM. Se aconseja el uso de herramientas especializadas como CHIPSEC para la detección y análisis de manipulaciones en el firmware, así como la aplicación de políticas de control de acceso físico a equipos sensibles.

Se desaconseja la actualización de firmware desde entornos no verificados o mediante imágenes no firmadas. Los procedimientos de respuesta ante incidentes deben incluir la verificación de la integridad del firmware y la consideración de reemplazo físico en caso de infección confirmada.

### Opinión de Expertos

Especialistas en ciberseguridad consultados subrayan que este incidente marca una tendencia preocupante: “El salto de los grupos de ransomware destructivo al espacio UEFI indica una escalada en la sofisticación y el nivel de impacto de las campañas actuales. La protección del firmware debe dejar de ser una asignatura pendiente en las estrategias de ciberdefensa corporativa”, señala un CISO de una multinacional tecnológica.

Investigadores de threat hunting destacan la importancia de la colaboración con los fabricantes de hardware y la actualización constante de los mecanismos de detección, dado el bajo nivel de visibilidad que ofrecen las amenazas UEFI.

### Implicaciones para Empresas y Usuarios

Las organizaciones deben revisar sus procesos de gestión de activos y ciclo de vida del hardware, asegurando la trazabilidad de las actualizaciones de firmware y la capacitación de los equipos técnicos ante incidentes de esta naturaleza. El cumplimiento de marcos regulatorios como GDPR y NIS2 obliga a la notificación de brechas que afecten al firmware, así como a la adopción de medidas proactivas de protección.

Para los usuarios finales, la concienciación sobre los riesgos de instalar software no verificado y la importancia de mantener el firmware actualizado son esenciales para mitigar este tipo de amenazas.

### Conclusiones

La aparición de una variante UEFI de Petya/NotPetya que explota CVE-2024-7344 representa una amenaza crítica para la seguridad de dispositivos y datos corporativos. La necesidad de priorizar la protección del firmware y de adaptar los protocolos de respuesta ante incidentes es más urgente que nunca, en un contexto donde las fronteras tradicionales de la seguridad TI se ven constantemente desbordadas por la innovación de los actores maliciosos.

(Fuente: www.welivesecurity.com)