Formatear un ordenador, o restablecer los valores de fábrica de un dispositivo, suele ser la mejor forma de eliminar un malware que, por alguna razón, ha infectado nuestro sistema. Sin embargo, los piratas informáticos buscan constantemente nuevas formas de persistencia que les permitan, además de ser prácticamente indetectables, mantener un equipo o dispositivo infectado incluso después de formatear. Así nacieron los rootkits, y una de las últimas amenazas de este tipo, recién descubierta, es LoJax, un rootkit UEFI.
Un rootkit UEFI es un tipo de malware que, en lugar de infectar el sistema operativo, infecta la UEFI (antigua BIOS) de los ordenadores. De esta manera, el malware pasa totalmente desapercibido en el sistema operativo (ya que los antivirus no suelen analizar la UEFI de los equipos) y, además, son capaces de resistir a un formateo del ordenador y a un cambio de disco duro.
Recientemente, investigadores de seguridad han encontrado un nuevo rootkit UEFI, llamado LoJax, que está infectando ordenadores y sistemas por todo el mundo. Este nuevo rootkit ha sido desarrollado por el grupo de piratas informáticos APT28, uno de los grupos de piratas más peligrosos, responsable ya de varios ataques a grandes empresas.
Cómo funciona LoJax, el rootkit UEFI de APT28
Este nuevo malware fue detectado por primera vez el pasado mes de mayo, aunque hasta ahora no se ha podido saber mucha información sobre él. Este malware se ha tomado ya varias víctimas por toda Europa y, además, no se sabe exactamente cómo se distribuye a través de Internet.
El rootkit como tal cuenta con una serie de archivos binarios que, al ejecutarlos en el sistema operativo, son capaces de recopilar información sobre su hardware, volcar la UEFI, parchearla para ocultar el código malicioso y volver a escribir en ella, todo ello desde Windows.
Los equipos infectados están ya a total merced de los piratas informáticos, ya que es la propia UEFI quien infecta en tiempo real la memoria del sistema, con más privilegios de los del propio Windows, siendo imposible detectar la amenaza con medios convencionales.
Cómo protegernos de LoJax y de otros rootkit UEFI
La mejor forma de protegernos de este tipo de malware es activar en nuestro ordenador el Secure Boot. Esta medida de seguridad evitará que, aunque el malware como tal llegue a nuestro ordenador, este consiga escribir en la propia UEFI y ganar así su persistencia. Además, siempre debemos asegurarnos de estar utilizando la última versión de la BIOS/UEFI para nuestra placa base.
En caso de que ya estemos infectados por LoJax, la única manera de desinfectarnos es, o bien borrar por completo la BIOS/UEFI y volver a flashearlade nuevo, o directamente cambiar la placa base. No hay más formas de acabar con este malware.
En un principio, este grupo de piratas informáticos suele atacar a objetivos concretos, como a grandes empresas, por lo que lo más seguro es que los usuarios domésticos no tengamos de qué preocuparnos. Eso sí, no debemos confiarnos, ya que, aunque LoJax pueda no ser una amenaza ahora mismo, podría llegar a serlo en un futuro no muy lejano, incluso puede que otros grupos de piratas informáticos creen otras amenazas similares que sí estén enfocadas a usuarios domésticos, por lo que nunca está de más saber cómo defendernos.