Hackers consiguen secuestrar el RID de Windows para crear una cuenta de administrador oculta
Hackers norcoreanos, vinculados a Lazarus, lograron secuestrar el Windows RID para crear una cuenta de administrador oculta en el sistema, y tomar el control de tu PC. Este método, aunque conocido desde hace años, sigue siendo una amenaza muy peligrosa.
Los piratas informáticos no cesan en su empeño de encontrar nuevas maneras de comprometer sistemas, y un ejemplo reciente lo protagonizaron los hackers norcoreanos Andariel, vinculados a Lazarus, quienes lograron secuestrar Windows RID para crear una cuenta de administrador oculta.
Cabe señalar que en el sistema operativo de Microsoft, cada usuario tiene asociado un identificador de seguridad conocido como SID, que a su vez incluye un número llamado RID, el cual determina el nivel de acceso del usuario y que puede ser de administrador, de invitado o de usuario normal.
Ahora, los ciberdelincuentes lograron modificar el RID de una cuenta con pocos privilegios para que coincida con el de un administrador, engañando a Windows y obteniendo acceso total a tu ordenador. Este método, aunque requiere acceso al registro SAM, es efectivo si no se toman medidas de protección.
Así es cómo lograron los hackers secuestrar el RID de Windows
Hackers de Corea del Norte consiguieron acceso inicial al sistema explotando vulnerabilidades en Windows. Una vez dentro, utilizaron herramientas como PsExec y JuicyPotato para obtener privilegios de nivel SISTEMA. Aunque este acceso es elevado, no permite operaciones remotas, por lo que recurren al secuestro del Windows RID.
El proceso incluye la creación de una cuenta oculta con bajo privilegio y su modificación posterior para convertirla en una cuenta de administrador oculta en Windows. Además, para encubrir el ciberataque, eliminan registros visibles y restauran configuraciones modificadas desde copias de seguridad, dificultando que sea detectado.
Este método pone en peligro principalmente a empresas, instituciones gubernamentales y usuarios con sistemas desactualizados o sin configuraciones de seguridad avanzadas. Por ello, la falta de protección en el registro SAM y el uso de cuentas sin autenticación avanzada facilita el trabajo de los piratas informáticos, no solo de Andariel, sino también de otras organizaciones.
Los expertos en ciberseguridad recomiendan varias medidas para mitigar el riesgo de ser víctima de este ataque. Por ejemplo, afirman que se debe fortalecer la seguridad del sistema utilizando herramientas como el Servicio de Subsistema de la Autoridad de Seguridad Local (LSA), restringir el uso de herramientas de administración remota y, por supuesto, activar la autenticación en dos pasos.
Lazarus: uno de los grupos de hackers más peligrosos de Corea del Norte
Lazarus es conocido por ser una de las agrupaciones de hackers norcoreanos más activas del mundo, y que ha estado en el foco mediático durante los últimos meses por sus ciberataques dirigidos a sectores financieros, tecnológicos y gubernamentales, así como el robo de criptomonedas.
Uno de los ataques más conocidos del grupo fue el que llevaron a cabo contra Sony Pictures en 2014. En ese caso, no solo accedieron a información sensible, sino que también filtraron correos electrónicos, salarios de los ejecutivos y otros datos confidenciales. Esto deja claro que Andariel, vinculado a este grupo, no es cualquiera, sino una amenaza seria y bien organizada.
Sus vínculos con el gobierno de Corea del Norte y su capacidad para ejecutar operaciones complejas, como el secuestro del Windows RID, refuerzan su reputación como una amenaza en todo el mundo. Y esto no solo aplica para grandes empresas, sino también para usuarios domésticos.