Pesquisadores de segurança dizem ter evidências de que agentes de ameaças afiliados à gangue de ransomware de Cuba usaram drivers de hardware maliciosos certificados pela Microsoft durante uma recente tentativa de ataque de ransomware.
Drivers – o software que permite que sistemas operacionais e aplicativos acessem e se comuniquem com dispositivos de hardware – exigem acesso altamente privilegiado ao sistema operacional e seus dados, e é por isso que o Windows exige que os drivers tenham uma assinatura criptográfica aprovada antes de permitir o carregamento do driver .
Esses drivers têm sido abusados por cibercriminosos, muitas vezes adotando uma abordagem de “traga seu próprio driver vulnerável”, na qual os hackers exploram as vulnerabilidades encontradas em um driver Windows existente de um editor de software legítimo. Pesquisadores da Sophos dizem ter observado hackers fazendo um esforço concentrado para passar progressivamente a usar certificados digitais mais amplamente confiáveis.
Ao investigar atividades suspeitas em uma rede de clientes, a Sophos descobriu evidências de que a gangue de ransomware de Cuba, ligada à Rússia, está se esforçando para subir na cadeia de confiança. Durante a investigação, a Sophos descobriu que os drivers maliciosos mais antigos da gangue, datados de julho, foram assinados por certificados de empresas chinesas e, em seguida, começaram a assinar seu driver malicioso com um certificado Nvidia vazado e revogado encontrado nos dados despejados pela gangue Lapsus $ ransomware. quando hackeou a fabricante de chips em março.
Os invasores agora conseguiram obter a “sinalização” do programa oficial de desenvolvedores de hardware do Windows da Microsoft, o que significa que o malware é inerentemente confiável para qualquer sistema Windows.
“Atores de ameaças estão subindo na pirâmide de confiança, tentando usar chaves criptográficas cada vez mais confiáveis para assinar digitalmente seus drivers”, escreveram os pesquisadores da Sophos Andreas Klopsch e Andrew Brandt em um post de blog . “Assinaturas de um editor de software grande e confiável tornam mais provável que o driver seja carregado no Windows sem impedimentos, aumentando as chances de que os invasores do ransomware Cuba possam encerrar os processos de segurança que protegem os computadores de seus alvos.”
A Sophos descobriu que a gangue de Cuba plantou o driver assinado malicioso em um sistema de destino usando uma variante do chamado carregador BurntCigar, um malware conhecido afiliado ao grupo de ransomware que foi observado pela primeira vez pela Mandiant. Os dois são usados em conjunto na tentativa de desabilitar as ferramentas de segurança de detecção de endpoint nas máquinas visadas.
Se forem bem-sucedidos – o que, neste caso, não tiveram – os invasores podem implantar o ransomware nos sistemas comprometidos.
A Sophos, junto com pesquisadores da Mandiant e SentinelOne , informou à Microsoft em outubro que drivers certificados por certificados legítimos foram usados de forma maliciosa em atividades pós-exploração. A própria investigação da Microsoft revelou que várias contas de desenvolvedor para o Microsoft Partner Center estavam envolvidas no envio de drivers maliciosos para obter uma assinatura da Microsoft.
“A análise contínua do Microsoft Threat Intelligence Center indica que os drivers maliciosos assinados provavelmente foram usados para facilitar a atividade de intrusão pós-exploração, como a implantação de ransomware”, disse a Microsoft em um comunicado publicado como parte de seu lançamento mensal agendado de patches de segurança, conhecido como Patch Terça-feira. A Microsoft disse que lançou atualizações de segurança do Windows revogando o certificado para arquivos afetados e suspendeu as contas de vendedores dos parceiros.
No início deste mês, um comunicado do governo dos EUA revelou que a gangue de ransomware de Cuba arrecadou US$ 60 milhões adicionais com ataques contra 100 organizações em todo o mundo. O comunicado alertou que o grupo de ransomware, que está ativo desde 2019, continua a visar entidades dos EUA em infraestrutura crítica, incluindo serviços financeiros , instalações governamentais, assistência médica e saúde pública e manufatura crítica e tecnologia da informação.
Fonte Leia mais: https://techcrunch.com/2022/12/13/cuba-ransomware-microsoft-drivers/
