Investigadores de Sophos (se abre en una pestaña nueva) han identificado que las vulnerabilidades en los controladores de hardware aprobados por Microsoft han sido explotadas en ataques de ransomware por parte de un grupo conocido como Cuba.
Se encontraron un par de archivos en máquinas comprometidas que, según Sophos, «trabajan juntos para finalizar procesos o servicios utilizados por una variedad de proveedores de productos de seguridad para puntos finales».
Afirmando haber «expulsado a los atacantes de los sistemas» antes de que las cosas se intensificaran, la empresa no puede estar segura de qué tipo de ataques (si los hubo) pudieron haber tenido lugar, aunque algunas pruebas apuntan a una variante de malware conocida como ‘BURNTCIGAR’.
Ransomware con controladores de Microsoft
Sophos informó a Microsoft de sus hallazgos, que luego publicó un aviso (se abre en una pestaña nueva) como parte de su lanzamiento mensual de Patch Tuesday.
El gigante tecnológico prometió haber completado una investigación que encontró que «la actividad se limitó al abuso de varias cuentas de programas de desarrolladores y que no se ha identificado ningún compromiso».
Microsoft también ha suspendido las cuentas de vendedor de los socios en un esfuerzo por proteger a los usuarios mientras tanto.
Se lanzó una actualización de seguridad que revocará el certificado de los archivos afectados, y el bloqueo de las detecciones ahora forma parte del sistema operativo (cuando se usa Microsoft Defender 1.377.987.0 o posterior).
Como siempre, la empresa insta a sus clientes a instalar actualizaciones donde corresponda, incluido el sistema operativo y el antivirus instalado y el software de protección de puntos finales. Atacar el software de seguridad del objetivo suele ser el precursor de pasos más impactantes, como la implementación de ransomware.
De manera más general, Sophos ha notado una tendencia que ve a los actores de amenazas «ascendiendo en la pirámide de confianza, intentando usar claves criptográficas cada vez más confiables para firmar digitalmente sus controladores».