\n<\/p>\n
Los investigadores de seguridad dicen que tienen evidencia de que los actores de amenazas afiliados a la banda de ransomware de Cuba usaron controladores de hardware maliciosos certificados por Microsoft durante un reciente intento de ataque de ransomware.<\/p>\n
Los controladores, el software que permite que los sistemas operativos y las aplicaciones accedan a los dispositivos de hardware y se comuniquen con ellos, requieren un acceso altamente privilegiado al sistema operativo y sus datos, raz\u00f3n por la cual Windows requiere que los controladores tengan una firma criptogr\u00e1fica aprobada antes de permitir que el controlador se cargue. .<\/p>\n
Durante mucho tiempo, los ciberdelincuentes han abusado de estos controladores, a menudo adoptando un enfoque de \u00abtraiga su propio controlador vulnerable\u00bb, en el que los piratas inform\u00e1ticos explotan las vulnerabilidades encontradas en un controlador de Windows existente de un editor de software leg\u00edtimo. Los investigadores de Sophos dicen que han observado a los piratas inform\u00e1ticos haciendo un esfuerzo concertado para avanzar progresivamente hacia el uso de certificados digitales m\u00e1s confiables.<\/p>\n
Mientras investigaba actividades sospechosas en la red de un cliente, Sophos descubri\u00f3 evidencia de que la pandilla de ransomware Cuba vinculada a Rusia est\u00e1 haciendo esfuerzos para ascender en la cadena de confianza. Durante su investigaci\u00f3n, Sophos descubri\u00f3 que los controladores maliciosos m\u00e1s antiguos de la banda que datan de julio estaban firmados por certificados de empresas chinas, luego comenzaron a firmar su controlador malicioso con un certificado de Nvidia filtrado y revocado desde entonces que se encuentra en los datos arrojados por la banda de ransomware Lapsus$. cuando hacke\u00f3 al fabricante de chips en marzo.<\/p>\n
Los atacantes ahora han logrado obtener \u00abse\u00f1alizaci\u00f3n\u00bb del Programa de desarrollo de hardware de Windows oficial de Microsoft, lo que significa que cualquier sistema de Windows conf\u00eda inherentemente en el malware.<\/p>\n
\u201cLos actores de amenazas est\u00e1n ascendiendo en la pir\u00e1mide de confianza, intentando utilizar cada vez m\u00e1s claves criptogr\u00e1ficas confiables para firmar digitalmente a sus controladores\u201d, escribieron los investigadores de Sophos Andreas Klopsch y Andrew Brandt en una publicaci\u00f3n de blog. \u00abLas firmas de un editor de software grande y confiable hacen que sea m\u00e1s probable que el controlador se cargue en Windows sin obst\u00e1culos, lo que mejora las posibilidades de que los atacantes del ransomware de Cuba puedan terminar los procesos de seguridad que protegen las computadoras de sus objetivos\u00bb.<\/p>\n
Sophos descubri\u00f3 que la pandilla de Cuba plant\u00f3 el controlador malicioso firmado en un sistema objetivo utilizando una variante del llamado cargador BurntCigar, una pieza conocida de malware afiliado al grupo de ransomware que fue observado por primera vez por Mandiant. Los dos se utilizan en conjunto en un intento de deshabilitar las herramientas de seguridad de detecci\u00f3n de puntos finales en las m\u00e1quinas objetivo.<\/p>\n
Si tiene \u00e9xito, que en este caso no fue as\u00ed, los atacantes podr\u00edan implementar el ransomware en los sistemas comprometidos.<\/p>\n
Sophos, junto con investigadores de Mandiant y SentinelOne, informaron a Microsoft en octubre que los controladores certificados por certificados leg\u00edtimos se usaban de forma malintencionada en actividades posteriores a la explotaci\u00f3n. La propia investigaci\u00f3n de Microsoft revel\u00f3 que varias cuentas de desarrolladores del Centro de socios de Microsoft estaban involucradas en el env\u00edo de controladores maliciosos para obtener una firma de Microsoft.<\/p>\n
\u201cEl an\u00e1lisis continuo del Centro de inteligencia de amenazas de Microsoft indica que los controladores maliciosos firmados probablemente se usaron para facilitar la actividad de intrusi\u00f3n posterior a la explotaci\u00f3n, como la implementaci\u00f3n de ransomware\u201d, dijo Microsoft en un aviso publicado como parte de su lanzamiento mensual programado de parches de seguridad, conocido como Patch Martes. Microsoft dijo que lanz\u00f3 actualizaciones de seguridad de Windows que revocan el certificado de los archivos afectados y suspendi\u00f3 las cuentas de vendedor de los socios.<\/p>\n
A principios de este mes, un aviso del gobierno de EE. UU. revel\u00f3 que la pandilla de ransomware de Cuba ha obtenido $ 60 millones adicionales de los ataques contra 100 organizaciones en todo el mundo. El aviso advirti\u00f3 que el grupo de ransomware, que ha estado activo desde 2019, contin\u00faa apuntando a entidades estadounidenses en infraestructura cr\u00edtica, incluidos servicios financieros, instalaciones gubernamentales, atenci\u00f3n m\u00e9dica y salud p\u00fablica, y tecnolog\u00eda de informaci\u00f3n y fabricaci\u00f3n cr\u00edtica.<\/p>\n<\/p><\/div>\n