Nuevo ataque RAMBO roba datos de sistemas aislados mediante señales de radio RAM

Por Mura en Seguridad informática

Traducir a:

Las amenazas a la ciberseguridad siguen evolucionando y un nuevo método de robo de datos, denominado ataque "RAMBO", plantea un grave riesgo, incluso para los sistemas aislados. Esta sofisticada técnica, desarrollada por Mordechai Guri de la Universidad Ben-Gurion del Néguev en Israel, permite a los atacantes extraer datos mediante señales de radio emitidas por la memoria (RAM) de sistemas aislados. Veamos qué significa esto y cómo afecta a la ciberseguridad.

Tabla de contenido

¿Qué es un sistema con espacio de aire?

Los sistemas con aislamiento de aire están diseñados para estar separados física y lógicamente de cualquier red externa, como Internet. Las organizaciones utilizan el aislamiento de aire como medida de seguridad para proteger los datos críticos y confidenciales de las amenazas cibernéticas. Sin embargo, si bien el aislamiento de aire mejora la seguridad, no hace que estos sistemas sean totalmente inmunes a los ataques. A lo largo de los años, varias familias de malware , como Stuxnet , Fanny y PlugX , han apuntado específicamente a los sistemas con aislamiento de aire.

¿Cómo funciona el ataque RAMBO?

El ataque RAMBO (oscilaciones del bus de memoria radiadas) ataca a los ordenadores con espacio de aire y explota las señales electromagnéticas generadas desde su memoria RAM. Así es como funciona:

Implementación de malware : el primer paso del ataque es infectar el sistema aislado con malware. Esto puede suceder a través de una unidad USB comprometida, un ataque interno o una vulnerabilidad en la cadena de suministro que inyecta el malware en el hardware o el software.
Codificación de datos y transmisión de señales : una vez instalado el malware, manipula la memoria RAM del sistema para generar señales electromagnéticas codificadas. La rápida transferencia de datos dentro de la memoria RAM crea pequeñas ondas electromagnéticas que pueden emitir datos a frecuencias específicas.
Exfiltración de datos : los atacantes utilizan hardware de radio definida por software (SDR) y una antena básica para capturar estas señales a una distancia de hasta 7 metros (23 pies). El malware codifica información confidencial, como claves de cifrado, datos biométricos, imágenes y pulsaciones de teclas, que se transmiten a través de estas señales de radio. La tasa de exfiltración es de alrededor de 1000 bits por segundo, que, aunque es lenta, es más que suficiente para filtrar información crítica.

El método RAMBO en detalle

RAMBO es una forma novedosa de comunicación por canal encubierto con espacio de aire. Aprovecha las emisiones electromagnéticas de la RAM, que se producen debido a los rápidos cambios de voltaje y corriente cuando se transfieren datos. Estas emisiones están directamente influenciadas por factores como la velocidad de reloj del sistema y el ancho de datos.

Al controlar cuidadosamente los patrones de acceso a la memoria, el atacante puede generar una señal binaria que luego puede recibir y decodificar utilizando hardware SDR y una antena estándar. El investigador detrás de este método, Mordechai Guri, demostró con éxito cómo este ataque puede filtrar datos de sistemas aislados a receptores cercanos.

¿Por qué siguen siendo vulnerables los sistemas con espacio de aire?

Muchos creen que los sistemas aislados son intocables debido a su aislamiento de las redes, pero este ataque demuestra lo contrario. El aislamiento físico por sí solo no puede proteger contra técnicas avanzadas como el ataque RAMBO, que explota comportamientos fundamentales del hardware que pueden observarse y capturarse de forma inalámbrica.

Si bien existen decenas de cepas de malware documentadas que atacan sistemas aislados, RAMBO presenta un riesgo único porque no requiere acceso físico directo para extraer datos. El atacante solo necesita infectar el sistema con el malware y tener un dispositivo para capturar las señales electromagnéticas desde una distancia corta.

Medidas defensivas contra ataques RAMBO

Afortunadamente, existen contramedidas que pueden ayudar a defenderse de ataques estilo RAMBO:

Blindaje y jaulas de Faraday : Encerrar sistemas críticos en jaulas de Faraday puede bloquear las emisiones electromagnéticas, impidiendo la transmisión de señales.
Bloqueadores y generadores de ruido : la implementación de bloqueadores electromagnéticos o generadores de ruido puede interferir con las señales emitidas por la RAM, lo que dificulta que los atacantes capturen datos claros.
Detección de malware mejorada : fortalecer los protocolos de detección de malware en sistemas con espacio de aire puede ayudar a identificar y eliminar amenazas antes de que puedan manipular la RAM para generar señales.
Reducción de las emisiones electromagnéticas : los fabricantes de hardware pueden centrarse en diseñar sistemas con emisiones electromagnéticas reducidas, lo que dificultará que estos ataques tengan éxito.

Reflexiones finales

El ataque RAMBO demuestra la naturaleza cambiante de las amenazas cibernéticas, y demuestra que incluso los sistemas aislados no son invulnerables. Comprender cómo funcionan estos ataques es fundamental para desarrollar defensas sólidas. Las organizaciones con datos altamente confidenciales deberían considerar la implementación de medidas de protección, como el blindaje de señales y la mejora de sus capacidades de detección de malware, para protegerse contra esta forma avanzada de robo de datos.

Para obtener información más detallada y las últimas actualizaciones en seguridad informática, siga atento a EnigmaSoftware.com. Manténgase siempre un paso por delante de los cibercriminales fortaleciendo sus sistemas e implementando las mejores defensas contra amenazas emergentes como el ataque RAMBO.

SpyHunter para Windows de EnigmaSoft ha obtenido la certificación AV-TEST

Buscar

Cambia región