Güvenlik araştırmacıları, Küba fidye yazılımı çetesine bağlı tehdit aktörlerinin yakın tarihli bir fidye yazılımı saldırısı girişimi sırasında Microsoft tarafından onaylanan kötü amaçlı donanım sürücüleri kullandıklarına dair kanıtları olduğunu söylüyorlar.
İşletim sistemlerinin ve uygulamaların donanım aygıtlarına erişmesine ve bunlarla iletişim kurmasına izin veren yazılımlar olan sürücüler, işletim sistemine ve verilerine yüksek düzeyde ayrıcalıklı erişim gerektirir; bu nedenle Windows, sürücünün yüklenmesine izin vermeden önce sürücülerin onaylı bir kriptografik imza taşımasını gerektirir. .
Bu sürücüler, siber suçlular tarafından uzun süredir kötüye kullanılıyor ve genellikle bilgisayar korsanlarının meşru bir yazılım yayıncısının mevcut bir Windows sürücüsünde bulunan güvenlik açıklarından yararlandığı “kendi savunmasız sürücünüzü getirin” yaklaşımı benimsiyor. Araştırmacılar Sofos bilgisayar korsanlarının daha yaygın olarak güvenilen dijital sertifikaları kullanmaya doğru aşamalı olarak ilerlemek için ortak bir çaba sarf ettiğini gözlemlediklerini söylüyorlar.
Sophos, bir müşteri ağındaki şüpheli etkinliği araştırırken, Rusya bağlantılı Küba fidye yazılımı çetesinin güven zincirini yükseltmek için çaba sarf ettiğine dair kanıtlar buldu. Soruşturmaları sırasında Sophos, çetenin Temmuz ayına kadar uzanan en eski kötü niyetli sürücülerinin Çinli şirketlerden alınan sertifikalarla imzalandığını keşfetti ve ardından kötü niyetli sürücülerini, Lapsus$ fidye yazılımı çetesi tarafından dökülen verilerde bulunan, sızdırılmış, o zamandan beri iptal edilmiş bir Nvidia sertifikasıyla imzalamaya başladı. Mart ayında çip üreticisini hacklediğinde.
Saldırganlar artık Microsoft’un resmi Windows Donanım Geliştirici Programından “tabela” almayı başardılar; bu, kötü amaçlı yazılımın herhangi bir Windows sistemi tarafından doğası gereği güvenilir olduğu anlamına gelir.
Sophos araştırmacıları Andreas Klopsch ve Andrew Brandt, “Tehdit aktörleri, sürücülerini dijital olarak imzalamak için giderek daha fazla güvenilen kriptografik anahtarlar kullanmaya çalışarak güven piramidinde yukarı doğru ilerliyor” diye yazmıştı. bir blog yazısı. “Büyük, güvenilir bir yazılım yayıncısından alınan imzalar, sürücünün Windows’a engellenmeden yüklenmesini daha olası hale getirerek, Küba fidye yazılımı saldırganlarının hedeflerinin bilgisayarlarını koruyan güvenlik süreçlerini sonlandırabilme şanslarını artırıyor.”
Sophos, Küba çetesinin, ilk olarak Mandiant tarafından gözlemlenen fidye yazılımı grubuna bağlı bilinen bir kötü amaçlı yazılım parçası olan BurntCigar yükleyicisinin bir çeşidini kullanarak kötü niyetli imzalı sürücüyü hedeflenen bir sisteme yerleştirdiğini keşfetti. İkisi, hedeflenen makinelerde uç nokta algılama güvenlik araçlarını devre dışı bırakma girişiminde art arda kullanılır.
Başarılı olursa – ki bu durumda başarılı olamadılar – saldırganlar fidye yazılımını güvenliği ihlal edilmiş sistemlere yerleştirebilir.
Sophos, araştırmacılarla birlikte Mandiant ve SentinelOne, Ekim ayında Microsoft’a meşru sertifikalar tarafından onaylanan sürücülerin istismar sonrası faaliyetlerde kötü niyetli olarak kullanıldığını bildirdi. Microsoft’un kendi araştırması, Microsoft İş Ortağı Merkezi için birkaç geliştirici hesabının bir Microsoft imzası almak için kötü amaçlı sürücüler göndermekle meşgul olduğunu ortaya çıkardı.
“Devam eden Microsoft Tehdit İstihbarat Merkezi analizi, imzalanmış kötü amaçlı sürücülerin büyük olasılıkla fidye yazılımı dağıtımı gibi istismar sonrası izinsiz giriş faaliyetlerini kolaylaştırmak için kullanıldığını gösteriyor.” bir danışmada dedi Salı Yaması olarak bilinen güvenlik yamalarının aylık planlanmış sürümünün bir parçası olarak yayınlandı. Microsoft, etkilenen dosyalar için sertifikayı iptal eden Windows güvenlik güncellemelerini yayınladığını ve ortakların satıcı hesaplarını askıya aldığını söyledi.
Bu ayın başlarında, bir ABD hükümeti danışma belgesi, Küba fidye yazılımı çetesinin dünya çapında 100 kuruluşa yönelik saldırılardan ek 60 milyon dolar kazandığını ortaya çıkardı. Danışma belgesi, 2019’dan beri aktif olan fidye yazılımı grubunun finansal hizmetler, devlet tesisleri, sağlık ve halk sağlığı ve kritik üretim ve bilgi teknolojisi dahil olmak üzere kritik altyapıdaki ABD kuruluşlarını hedef almaya devam ettiği konusunda uyardı.