BlackLotus es uno de los virus UEFI más populares, y peligrosos, que podemos encontrar en la red. Esta amenaza informática destaca por ser la más eficaz a la hora de omitir el arranque seguro al instalar cualquier sistema operativo (incluso el último Windows 11), así como ser capaz de evadir el software de seguridad. Además, se queda persistente en la memoria del sistema infectado (siendo imposible su eliminación), y carga librerías y ejecuta otro código malicioso con el nivel más alto de privilegios del sistema operativo (superior a SYSTEM).
Este malware es capaz de desactivar el cifrado de los discos con BitLocker (al tener acceso a la memoria tiene acceso a la clave), desactiva Windows Defender, o cualquier otro antivirus instalado en el PC, e inutiliza las funciones de integridad de memoria, como la capa de seguridad de código protegido por hipervisor (HVCI).
Originalmente, este malware empezó usando la vulnerabilidad CVE-2022-21894, parcheada por Microsoft en 2022. Sin embargo, los piratas encontraron otro fallo de seguridad este año, CVE-2023-24932, el cual es el que están usando ahora. Aunque hay un parche de seguridad para esta vulnerabilidad, Microsoft lo tiene desactivado por defecto, por lo que todos los ordenadores son vulnerables.
-El código de BlackLotus, ahora en GitHub
Este malware se vendía en foros privados dentro de la Deep Web por 5000 dólares a otros piratas informáticos. De esta forma, este malware no es exclusivo de un solo grupo de piratas, sino que puede estar al alcance de cualquiera. Además, los desarrolladores siguieron desarrollando el código y ofreciendo actualizaciones (por ejemplo, para las últimas vulnerabilidades) por 200 dólares la actualización.
Sin embargo, un usuario, bajo el nombre de ‘Yukari’, ha filtrado el código de este malware en GitHub de manera que cualquiera pueda hacerse con él. Este código está disponible en GitHub y, aunque los expertos de seguridad aseguran que no está completo ni es funcional, sí que contiene los módulos más peligrosos.
La publicación de este malware se trata de un arma de doble filo. Por un lado, la mala noticia es que cualquiera puede coger ese código e implementarlo en su propio malware. Por tanto, es fácil que muy pronto empecemos a ver nuevos virus que se aprovechan de estos fallos por la red. Pero, por otro lado, los investigadores de seguridad (incluso la propia Microsoft) ya tendrán una copia del malware, y trabajarán para encontrar una solución cuanto antes.
De momento habrá que esperar a ver cómo evoluciona el ámbito de la seguridad tras este anuncio. Lo que está claro es que debemos extremar las precauciones si no queremos acabar en las garras de piratas informáticos. Mucho cuidado al descargar archivos de Internet y, sobre todo, nunca seguir enlaces de redes sociales ni correos sospechosos.