Los investigadores de seguridad dicen que tienen evidencia de que los actores de amenazas afiliados a la banda de ransomware de Cuba usaron controladores de hardware maliciosos certificados por Microsoft durante un reciente intento de ataque de ransomware.
Los controladores, el software que permite que los sistemas operativos y las aplicaciones accedan a los dispositivos de hardware y se comuniquen con ellos, requieren un acceso altamente privilegiado al sistema operativo y sus datos, razón por la cual Windows requiere que los controladores tengan una firma criptográfica aprobada antes de permitir que el controlador se cargue. .
Durante mucho tiempo, los ciberdelincuentes han abusado de estos controladores, a menudo adoptando un enfoque de «traiga su propio controlador vulnerable», en el que los piratas informáticos explotan las vulnerabilidades encontradas en un controlador de Windows existente de un editor de software legítimo. Los investigadores de Sophos dicen que han observado a los piratas informáticos haciendo un esfuerzo concertado para avanzar progresivamente hacia el uso de certificados digitales más confiables.
Mientras investigaba actividades sospechosas en la red de un cliente, Sophos descubrió evidencia de que la pandilla de ransomware Cuba vinculada a Rusia está haciendo esfuerzos para ascender en la cadena de confianza. Durante su investigación, Sophos descubrió que los controladores maliciosos más antiguos de la banda que datan de julio estaban firmados por certificados de empresas chinas, luego comenzaron a firmar su controlador malicioso con un certificado de Nvidia filtrado y revocado desde entonces que se encuentra en los datos arrojados por la banda de ransomware Lapsus$. cuando hackeó al fabricante de chips en marzo.
Los atacantes ahora han logrado obtener «señalización» del Programa de desarrollo de hardware de Windows oficial de Microsoft, lo que significa que cualquier sistema de Windows confía inherentemente en el malware.
“Los actores de amenazas están ascendiendo en la pirámide de confianza, intentando utilizar cada vez más claves criptográficas confiables para firmar digitalmente a sus controladores”, escribieron los investigadores de Sophos Andreas Klopsch y Andrew Brandt en una publicación de blog. «Las firmas de un editor de software grande y confiable hacen que sea más probable que el controlador se cargue en Windows sin obstáculos, lo que mejora las posibilidades de que los atacantes del ransomware de Cuba puedan terminar los procesos de seguridad que protegen las computadoras de sus objetivos».
Sophos descubrió que la pandilla de Cuba plantó el controlador malicioso firmado en un sistema objetivo utilizando una variante del llamado cargador BurntCigar, una pieza conocida de malware afiliado al grupo de ransomware que fue observado por primera vez por Mandiant. Los dos se utilizan en conjunto en un intento de deshabilitar las herramientas de seguridad de detección de puntos finales en las máquinas objetivo.
Si tiene éxito, que en este caso no fue así, los atacantes podrían implementar el ransomware en los sistemas comprometidos.
Sophos, junto con investigadores de Mandiant y SentinelOne, informaron a Microsoft en octubre que los controladores certificados por certificados legítimos se usaban de forma malintencionada en actividades posteriores a la explotación. La propia investigación de Microsoft reveló que varias cuentas de desarrolladores del Centro de socios de Microsoft estaban involucradas en el envío de controladores maliciosos para obtener una firma de Microsoft.
“El análisis continuo del Centro de inteligencia de amenazas de Microsoft indica que los controladores maliciosos firmados probablemente se usaron para facilitar la actividad de intrusión posterior a la explotación, como la implementación de ransomware”, dijo Microsoft en un aviso publicado como parte de su lanzamiento mensual programado de parches de seguridad, conocido como Patch Martes. Microsoft dijo que lanzó actualizaciones de seguridad de Windows que revocan el certificado de los archivos afectados y suspendió las cuentas de vendedor de los socios.
A principios de este mes, un aviso del gobierno de EE. UU. reveló que la pandilla de ransomware de Cuba ha obtenido $ 60 millones adicionales de los ataques contra 100 organizaciones en todo el mundo. El aviso advirtió que el grupo de ransomware, que ha estado activo desde 2019, continúa apuntando a entidades estadounidenses en infraestructura crítica, incluidos servicios financieros, instalaciones gubernamentales, atención médica y salud pública, y tecnología de información y fabricación crítica.