par 
Les chercheurs en sécurité affirment avoir des preuves que des acteurs de la menace affiliés au gang de rançongiciels Cuba ont utilisé des pilotes matériels malveillants certifiés par Microsoft lors d’une récente tentative d’attaque de rançongiciel.
Les pilotes – le logiciel qui permet aux systèmes d’exploitation et aux applications d’accéder et de communiquer avec les périphériques matériels – nécessitent un accès hautement privilégié au système d’exploitation et à ses données, c’est pourquoi Windows exige que les pilotes portent une signature cryptographique approuvée avant de permettre le chargement du pilote. .
Ces pilotes ont longtemps été abusés par les cybercriminels, adoptant souvent une approche « apportez votre propre pilote vulnérable », dans laquelle les pirates exploitent les vulnérabilités trouvées dans un pilote Windows existant d’un éditeur de logiciels légitime. Les chercheurs de Sophos disent avoir observé des pirates faisant un effort concerté pour passer progressivement à l’utilisation de certificats numériques plus largement fiables.
Alors qu’il enquêtait sur une activité suspecte sur un réseau client, Sophos a découvert des preuves que le gang de rançongiciels cubain lié à la Russie s’efforçait de remonter la chaîne de confiance. Au cours de leur enquête, Sophos a découvert que les plus anciens pilotes malveillants du gang datant de juillet étaient signés par des certificats d’entreprises chinoises, puis ont commencé à signer leur pilote malveillant avec un certificat Nvidia divulgué et révoqué depuis trouvé dans les données déversées par le gang de rançongiciels Lapsus$. quand il a piraté le fabricant de puces en mars.
Les attaquants ont maintenant réussi à obtenir une «signalisation» du programme officiel de développement de matériel Windows de Microsoft, ce qui signifie que le logiciel malveillant est intrinsèquement approuvé par n’importe quel système Windows.
« Les acteurs de la menace montent dans la pyramide de la confiance, essayant d’utiliser des clés cryptographiques de plus en plus fiables pour signer numériquement leurs pilotes », ont écrit les chercheurs de Sophos Andreas Klopsch et Andrew Brandt dans un article de blog. “Les signatures d’un grand éditeur de logiciels digne de confiance augmentent la probabilité que le pilote se charge dans Windows sans entrave, améliorant ainsi les chances que les attaquants de rançongiciel Cuba puissent mettre fin aux processus de sécurité protégeant les ordinateurs de leurs cibles.”
Sophos a découvert que le gang Cuba avait installé le pilote signé malveillant sur un système ciblé en utilisant une variante du soi-disant chargeur BurntCigar, un logiciel malveillant connu affilié au groupe de rançongiciels qui a été observé pour la première fois par Mandiant. Les deux sont utilisés en tandem pour tenter de désactiver les outils de sécurité de détection des terminaux sur les machines ciblées.
En cas de succès – ce qui, dans ce cas, ils ne l’ont pas été – les attaquants pourraient déployer le ransomware sur les systèmes compromis.
Sophos, ainsi que des chercheurs de Mandiant et SentinelOne, ont informé Microsoft en octobre que des pilotes certifiés par des certificats légitimes étaient utilisés de manière malveillante dans les activités de post-exploitation. La propre enquête de Microsoft a révélé que plusieurs comptes de développeur du Microsoft Partner Center étaient engagés dans la soumission de pilotes malveillants pour obtenir une signature Microsoft.
“L’analyse en cours du Microsoft Threat Intelligence Center indique que les pilotes malveillants signés ont probablement été utilisés pour faciliter les activités d’intrusion post-exploitation telles que le déploiement de ransomwares”, a déclaré Microsoft dans un avis publié dans le cadre de sa publication mensuelle programmée de correctifs de sécurité, connue sous le nom de Patch. Mardi. Microsoft a déclaré avoir publié des mises à jour de sécurité Windows révoquant le certificat pour les fichiers concernés et suspendu les comptes vendeurs des partenaires.
Plus tôt ce mois-ci, un avis du gouvernement américain a révélé que le gang de rançongiciels de Cuba avait rapporté 60 millions de dollars supplémentaires grâce à des attaques contre 100 organisations dans le monde. L’avis a averti que le groupe de rançongiciels, actif depuis 2019, continue de cibler les entités américaines dans les infrastructures critiques, y compris les services financiers, les installations gouvernementales, les soins de santé et la santé publique, ainsi que la fabrication et les technologies de l’information critiques.
