Los hackers no dejan de buscar formas de comprometer sistemas, y un nuevo ejemplo lo protagonizan los piratas informáticos norcoreanos del grupo Andariel, vinculados a Lazarus. Estos cibercriminales han logrado explotar una técnica conocida desde hace años: secuestrar el RID (Relative Identifier) en Windows para crear cuentas de administrador ocultas.
Lo preocupante es que los hackers han encontrado la manera de modificar el RID de una cuenta básica y convertirla en una cuenta de administrador. En otras palabras, engañan al sistema para obtener acceso total a tu ordenador, como si fueran los dueños. Aunque este truco requiere acceso al registro SAM, sigue siendo muy efectivo si no tienes medidas de protección activadas.
¿Qué es el RID y cómo funciona en Windows?
Para entender este tipo de ataque, primero es importante comprender el concepto de RID (Relative Identifier). El RID es una parte de los SID (Security Identifiers), identificadores únicos que Windows utiliza para reconocer cuentas de usuario, grupos y dispositivos dentro de su sistema.
Un SID es una cadena alfanumérica que identifica de manera única a cada cuenta o entidad en un sistema Windows. Por ejemplo, una cuenta de administrador tiene un SID asignado, donde el último segmento es el RID, el cual representa el nivel de privilegio de esa cuenta. Por convención, el RID 500 está reservado para el administrador predeterminado del sistema, y otros RID se asignan a cuentas con permisos más bajos, como cuentas estándar o invitadas.
Los hackers han logrado manipular el RID de una cuenta estándar para convertirla en una cuenta de administrador sin que esto sea detectado fácilmente, lo que representa una seria amenaza de seguridad.
¿Cómo los hackers utilizan el RID para secuestrar cuentas?
Hackers de Corea del Norte, específicamente el grupo Andariel vinculado a Lazarus, lograron colarse en sistemas aprovechando vulnerabilidades en Windows. Una vez dentro, usaron herramientas como PsExec y JuicyPotato para elevar sus privilegios al nivel sistema. Aunque este nivel les da un gran control, todavía tiene algunas limitaciones, como la falta de acceso remoto directo. Para superar este obstáculo, recurrieron a un viejo truco: secuestrar el RID de Windows.
El proceso es astuto: crean una cuenta con pocos privilegios y luego modifican su RID para convertirla en una cuenta de administrador oculta. Así, obtienen acceso completo al sistema sin que sea fácil detectarlos. Para cubrir sus huellas, eliminan los registros visibles y restauran configuraciones desde copias de seguridad, lo que hace que rastrear el ataque sea un verdadero dolor de cabeza.
Este método representa un riesgo serio, especialmente para empresas, gobiernos y cualquier usuario con sistemas desactualizados o sin medidas de seguridad avanzadas. La falta de protección en el registro SAM y el uso de cuentas sin autenticación robusta les facilita el trabajo, no solo a Andariel, sino también a otros grupos de hackers.
¿La solución? Los expertos en ciberseguridad recomiendan reforzar la seguridad del sistema. Esto incluye usar herramientas de detección de anomalías como EDR y SIEM, limitar el uso de herramientas de administración remota, mantener el sistema actualizado y, por supuesto, activar la autenticación en dos pasos. Estas medidas son esenciales para prevenir que ataques como este te tomen por sorpresa.
Podría interesarte leer: ¿Por qué un SIEM es fundamental en un SOC?
Lazarus: El temido grupo de hackers de Corea del Norte
Si hablamos de grupos de hackers peligrosos, Lazarus ocupa un lugar destacado. Este grupo norcoreano se ha ganado su reputación como uno de los más activos y peligrosos del mundo, atacando sectores financieros, tecnológicos, gubernamentales e incluso robando criptomonedas. En los últimos meses, su nombre ha vuelto a aparecer en titulares debido a sus ciberataques meticulosos y efectivos.
Uno de los ataques más recordados de Lazarus fue el que perpetraron contra Sony Pictures en 2014. No solo lograron acceder a información confidencial, sino que también filtraron correos electrónicos privados, datos salariales de los ejecutivos y otros documentos sensibles. Fue un golpe mediático y un recordatorio del alcance que tienen sus operaciones.
Otro de sus subgrupos, conocido como Andariel, está detrás de ataques más recientes, como el secuestro del Windows RID. Este tipo de ataque muestra que no son simples amateurs, sino una organización bien estructurada y respaldada, con recursos y conocimientos avanzados.
Lo preocupante es que Lazarus no solo apunta a grandes corporaciones o gobiernos, sino que cualquier sistema vulnerable puede convertirse en su próximo objetivo, incluidos usuarios domésticos. Sus vínculos con el gobierno de Corea del Norte y su capacidad para ejecutar ataques complejos los convierten en una amenaza global que no se debe tomar a la ligera.
¿Por qué este ataque es tan peligroso?
Este ataque representa una seria amenaza por varias razones:
-
Difícil de detectar: Una cuenta de administrador oculta con un RID alterado puede operar sin ser detectada fácilmente, ya que no aparece en las interfaces comunes de administración de usuarios.
-
Control total del sistema: Al obtener privilegios de administrador, los hackers tienen acceso completo al sistema. Esto incluye la capacidad de instalar malware, robar datos, espiar actividades o incluso bloquear el acceso legítimo al dispositivo.
-
Persistencia del ataque: Las cuentas alteradas pueden permanecer activas durante largos períodos de tiempo sin ser descubiertas, permitiendo que los atacantes mantengan acceso constante al sistema.
-
Afecta a sistemas empresariales y personales: Tanto los usuarios domésticos como las organizaciones empresariales están en riesgo, especialmente aquellas que no cuentan con medidas avanzadas de ciberseguridad.
Podría interesarte leer: Hackers Infectan Computadoras Gubernamentales en México
Conclusión
El secuestro del RID en Windows es una técnica sofisticada que permite a los hackers modificar privilegios y crear cuentas de administrador ocultas, dejando sistemas vulnerables al control total de atacantes. Este tipo de amenazas resalta la importancia de mantener hábitos sólidos de ciberseguridad, tanto para usuarios individuales como para empresas.
Para protegerte, es esencial mantener tu sistema operativo actualizado, monitorear las cuentas activas y usar herramientas de seguridad avanzadas. Contar con soluciones robustas puede marcar una gran diferencia. Por ejemplo, el SOC de TecnetOne, con capacidades SIEM (Gestión de Información y Eventos de Seguridad), es ideal para detectar actividades sospechosas en tiempo real, como intentos de acceso no autorizados o cambios en configuraciones críticas del sistema. La prevención, la información y el uso de tecnologías especializadas son clave para adelantarte a los posibles ataques y mantenerte un paso adelante de los hackers.
