Банда вымогателей поймана с использованием одобренных Microsoft драйверов для взлома целей
Исследователи безопасности говорят, что у них есть доказательства того, что злоумышленники, связанные с кубинской бандой вымогателей, использовали вредоносные драйверы оборудования, сертифицированные Microsoft, в недавней попытке атаки с помощью программы-вымогателя.
Драйверы — программное обеспечение, которое позволяет операционным системам и приложениям получать доступ к аппаратным устройствам и взаимодействовать с ними — требуют доступа с высоким уровнем привилегий к операционной системе и ее данным, поэтому Windows требует, чтобы драйверы имели надежную криптографическую подпись, прежде чем разрешать загрузку драйвера. .
Киберпреступники уже давно злоупотребляют этими драйверами, часто прибегая к подходу "принеси свой собственный уязвимый драйвер", когда хакеры используют уязвимости, обнаруженные в существующем драйвере Windows от законного поставщика программного обеспечения. Исследователи Sophos утверждают, что наблюдали, как хакеры прилагали согласованные усилия для постепенного перехода к использованию более надежных цифровых сертификатов.
Расследуя подозрительную активность в сети клиента, Sophos обнаружила доказательства того, что связанная с Россией кубинская банда вымогателей пытается пробраться вверх по цепочке доверия. В ходе своего расследования Sophos обнаружила, что самые старые вредоносные драйверы в банде, датируемые июлем, были подписаны сертификатами китайских компаний, а затем начали подписывать свой вредоносный драйвер с помощью просочившегося и отозванного сертификата Nvidia, обнаруженного в данных. банда вымогателей. когда он взломал производителя чипов в марте.
Злоумышленникам удалось получить «пометку» официальной программы Microsoft по разработке оборудования для Windows, что означает, что любая система Windows по своей природе доверяет вредоносному ПО.
"Субъекты угроз продвигаются вверх по пирамиде доверия, пытаясь использовать все более надежные криптографические ключи для цифровой подписи своих драйверов", – пишут исследователи Sophos Андреас Клопш и Эндрю Брандт в статье для блога. «Подписи от крупного и надежного поставщика программного обеспечения увеличивают вероятность того, что драйвер будет беспрепятственно загружаться в Windows, увеличивая вероятность того, что злоумышленники, использующие программу-вымогатель Cuba, смогут прервать процессы безопасности, защищающие компьютеры своих целей.
Компания Sophos обнаружила, что банда Кубы установила вредоносный подписанный драйвер в целевую систему с помощью варианта так называемого загрузчика BurntCigar, известного вредоносного ПО, связанного с группой программ-вымогателей, впервые обнаруженной Mandiant. Оба используются в тандеме, чтобы попытаться отключить инструменты безопасности обнаружения конечных точек на целевых компьютерах.
В случае успеха (чего в данном случае не произошло) злоумышленники могут развернуть программу-вымогатель на скомпрометированных системах.
В октябре компания Sophos вместе с исследователями из Mandiant и SentinelOne проинформировала Microsoft о том, что драйверы, сертифицированные законными сертификатами, злонамеренно использовались в действиях после эксплуатации. Собственное расследование Microsoft показало, что несколько учетных записей разработчиков Microsoft Partner Center участвовали в отправке вредоносных драйверов для получения подписи Microsoft.
«Текущий анализ Microsoft Threat Intelligence Center указывает на то, что подписанные со злым умыслом драйверы, вероятно, использовались для облегчения вторжений после эксплойта, таких как развертывание программ-вымогателей», — говорится в бюллетене Microsoft, опубликованном в рамках запланированного ежемесячного выпуска исправлений безопасности. известный как вторник патчей. Microsoft заявила, что выпустила обновления для системы безопасности Windows, отменяющие сертификат для уязвимых файлов и заблокированных учетных записей партнеров-продавцов.
Ранее в этом месяце правительство США сообщило, что кубинская банда вымогателей заработала дополнительно 60 млн долларов в результате атак на 100 организаций по всему миру. В бюллетене предупредили, что группа вымогателей, действующая с 2019 года, по-прежнему нацелена на американские организации в критически важной инфраструктуре, включая финансовые услуги, государственные учреждения, здравоохранение и общественное здравоохранение, а также производство и критически важные информационные технологии.
Исследователи безопасности говорят, что у них есть доказательства того, что злоумышленники, связанные с кубинской бандой вымогателей, использовали вредоносные драйверы оборудования, сертифицированные Microsoft, в недавней попытке атаки с помощью программы-вымогателя.
Драйверы — программное обеспечение, которое позволяет операционным системам и приложениям получать доступ к аппаратным устройствам и взаимодействовать с ними — требуют доступа с высоким уровнем привилегий к операционной системе и ее данным, поэтому Windows требует, чтобы драйверы имели надежную криптографическую подпись, прежде чем разрешать загрузку драйвера. .
Киберпреступники уже давно злоупотребляют этими драйверами, часто прибегая к подходу "принеси свой собственный уязвимый драйвер", когда хакеры используют уязвимости, обнаруженные в существующем драйвере Windows от законного поставщика программного обеспечения. Исследователи Sophos утверждают, что наблюдали, как хакеры прилагали согласованные усилия для постепенного перехода к использованию более надежных цифровых сертификатов.
Расследуя подозрительную активность в сети клиента, Sophos обнаружила доказательства того, что связанная с Россией кубинская банда вымогателей пытается пробраться вверх по цепочке доверия. В ходе своего расследования Sophos обнаружила, что самые старые вредоносные драйверы в банде, датируемые июлем, были подписаны сертификатами китайских компаний, а затем начали подписывать свой вредоносный драйвер с помощью просочившегося и отозванного сертификата Nvidia, обнаруженного в данных. банда вымогателей. когда он взломал производителя чипов в марте.
Злоумышленникам удалось получить «пометку» официальной программы Microsoft по разработке оборудования для Windows, что означает, что любая система Windows по своей природе доверяет вредоносному ПО.
"Субъекты угроз продвигаются вверх по пирамиде доверия, пытаясь использовать все более надежные криптографические ключи для цифровой подписи своих драйверов", – пишут исследователи Sophos Андреас Клопш и Эндрю Брандт в статье для блога. «Подписи от крупного и надежного поставщика программного обеспечения увеличивают вероятность того, что драйвер будет беспрепятственно загружаться в Windows, увеличивая вероятность того, что злоумышленники, использующие программу-вымогатель Cuba, смогут прервать процессы безопасности, защищающие компьютеры своих целей.
Компания Sophos обнаружила, что банда Кубы установила вредоносный подписанный драйвер в целевую систему с помощью варианта так называемого загрузчика BurntCigar, известного вредоносного ПО, связанного с группой программ-вымогателей, впервые обнаруженной Mandiant. Оба используются в тандеме, чтобы попытаться отключить инструменты безопасности обнаружения конечных точек на целевых компьютерах.
В случае успеха (чего в данном случае не произошло) злоумышленники могут развернуть программу-вымогатель на скомпрометированных системах.
В октябре компания Sophos вместе с исследователями из Mandiant и SentinelOne проинформировала Microsoft о том, что драйверы, сертифицированные законными сертификатами, злонамеренно использовались в действиях после эксплуатации. Собственное расследование Microsoft показало, что несколько учетных записей разработчиков Microsoft Partner Center участвовали в отправке вредоносных драйверов для получения подписи Microsoft.
«Текущий анализ Microsoft Threat Intelligence Center указывает на то, что подписанные со злым умыслом драйверы, вероятно, использовались для облегчения вторжений после эксплойта, таких как развертывание программ-вымогателей», — говорится в бюллетене Microsoft, опубликованном в рамках запланированного ежемесячного выпуска исправлений безопасности. известный как вторник патчей. Microsoft заявила, что выпустила обновления для системы безопасности Windows, отменяющие сертификат для уязвимых файлов и заблокированных учетных записей партнеров-продавцов.
Ранее в этом месяце правительство США сообщило, что кубинская банда вымогателей заработала дополнительно 60 млн долларов в результате атак на 100 организаций по всему миру. В бюллетене предупредили, что группа вымогателей, действующая с 2019 года, по-прежнему нацелена на американские организации в критически важной инфраструктуре, включая финансовые услуги, государственные учреждения, здравоохранение и общественное здравоохранение, а также производство и критически важные информационные технологии.
What's Your Reaction?
