El bootkit BlackLotus infectará tu PC aunque tengas Secure Boot activado
Si queremos protegernos de cualquier amenaza en nuestros PC, siempre se recomienda tener el sistema operativo y software actualizados a la última versión. Por supuesto no puede fallar el sistema operativo, aunque a día de hoy Microsoft Defender en Windows 10 y 11 es bastante competente y hace un buen trabajo a la hora de protegernos de la mayoría de virus. Sin embargo, hay amenazas como el bootkit BlackLotus UEFI que pueden infectar nuestro PC completamente actualizado y anular el modo de arranque seguro de Windows.
Fue en octubre de 2022, cuando una nueva amenaza bautizada como BlackLotus fue descubierta. Ester era considerado como un UEFI Bootkit capaz de superar cualquier tipo de protección en tu PC. De hecho, se anunciaba como que era capaz de llegar a afectar al nivel 0 de la arquitectura x86, es decir, era capaz de conseguir el mayor nivel de acceso a los privilegios del PC. Como si fuese un administrador del sistema, es capaz de decidir el destino de tu ordenador y como malware que es, no acabará bien.
BlackLotus vale solo 5.000 dólares y tu PC está acabado si te infecta
Ya lo advirtieron hace meses, el bootkit UEFI BlackLotus puede acabar con un PC sin que realmente puedas defenderte. Este malware tiene una capacidad ofensiva comparable a las que solo estaba disponible en los APT (amenaza persistente avanzada) o los grupos patrocinados por el Estado. El hecho de que un rootkit como BlackLotus se venda en foros de hackers clandestinos por únicamente 5.000 dólares, hace que los hackers de todo el mundo se planteen su compra inmediata.
Y es que por este módico precio, BlackLotus es capaz de infectar el MBR de tu PC, pudiendo incluso anular el arranque seguro o Secure Boot de Windows. Sí, ese modo al que entramos cuando tenemos algún problema en nuestro ordenador relacionado generalmente con los drivers. De hecho, Secure Boot es obligatorio en sistemas operativos Windows 11 para garantizar la mayor seguridad y protección ante amenazas. Sabiendo que el bootkit BlackLotus es capaz de anular el arranque seguro de Windows, ya nos podemos imaginar lo peligroso que es.
Windows recibió un parche, pero BlackLotus sigue siendo una amenaza
La empresa de ciberseguridad eslovaca ESET afirma que BlackLotus es la primera amenaza conocida públicamente capaz de abusar de la vulnerabilidad CVE-2022-21894. Esta se traduce como "Secure Boot Security Feature Vulnerability", que viene siendo lo que vamos advirtiendo de que el rootkit es capaz de sobrepasar dicha capa de protección. Por supuesto, Microsoft se dio cuenta de esto y arregló este problema en enero de 2022. Pero eso no significa que estemos completamente protegidos contra el bootkit BlackLotus.
Y es que, los hackers pueden seguir aprovechando el exploit usando archivos binarios firmados que no se hayan añadido a la lista de revocación de UEFI. De hecho, BlackLotus es capaz de desactivar incluso Windows Defender o BitLocker, dejando tu PC completamente vulnerable. Por si creíamos que el precio de 5.000 dólares por una herramienta tan peligrosa como esta era falso, los analistas de ESET nos confirman que es totalmente auténtica. No se sabe quien lo ha creado, pero sabemos que no se ha instalado el bootkit UEFI en sistemas localizados en Rusia, Ucrania, Bielorrusia, Armenia, Moldavia o Kazajistán.