Araştırmacılar Sofos (yeni sekmede açılır) Microsoft onaylı donanım sürücülerindeki güvenlik açıklarının Küba olarak bilinen bir grup tarafından fidye yazılımı saldırılarında kullanıldığını tespit ettiler.
Güvenliği ihlal edilmiş makinelerde, Sophos’un “çeşitli uç nokta güvenlik ürünü satıcıları tarafından kullanılan işlemleri veya hizmetleri sonlandırmak için birlikte çalışın” dediği bir çift dosya bulundu.
Olaylar tırmanmadan önce “saldırganları sistemden attığını” iddia eden şirket, (eğer varsa) ne tür saldırıların gerçekleşmiş olabileceğinden emin olamıyor, ancak bazı kanıtlar kötü amaçlı yazılımın ‘BURNTCIGAR’ olarak bilinen bir çeşidine işaret ediyor.
Microsoft sürücüleri ile fidye yazılımı
Sophos, daha sonra bir danışma belgesi yayınlayan Microsoft’u bulguları hakkında bilgilendirdi. (yeni sekmede açılır) aylık Yama Salı sürümünün bir parçası olarak.
Teknoloji devi, “faaliyetin birkaç geliştirici programı hesabının kötüye kullanılmasıyla sınırlı olduğunu ve herhangi bir ödün verilmediğini” tespit eden bir soruşturmayı tamamlayacağına söz verdi.
Microsoft, bu arada kullanıcıları korumak amacıyla ortakların satıcı hesaplarını da askıya aldı.
Etkilenen dosyalar için sertifikayı iptal edecek bir güvenlik güncelleştirmesi yayınlandı ve engelleme algılamaları artık işletim sisteminin bir parçasını oluşturuyor (Microsoft Defender 1.377.987.0 veya daha yenisini kullanırken).
Şirket, her zaman olduğu gibi müşterilerini, işletim sistemi ve kurulu antivirüs ve uç nokta koruma yazılımı da dahil olmak üzere uygun olan her yerde güncellemeleri yüklemeye çağırıyor. Hedefin güvenlik yazılımına saldırmak, genellikle fidye yazılımı dağıtmak gibi daha etkili adımların habercisidir.
Daha genel olarak Sophos, tehdit aktörlerinin “sürücülerini dijital olarak imzalamak için giderek daha fazla güvenilen kriptografik anahtarlar kullanmaya çalışarak güven piramidinde yukarı çıktıklarını” gören bir eğilim fark etti.