Driver Targets Software program de detección y respuesta de punto remaining (EDR); Ataques vinculados al grupo Cuba Ransomware
OXFORD, Reino Unido, 13 de diciembre de 2022 (GLOBE NEWSWIRE) — Sophos, líder mundial en innovación y entrega de ciberseguridad como servicio, reveló hoy que ha encontrado código malicioso en varios controladores firmados por certificados digitales legítimos. Su último informe, “El malware de controlador firmado asciende en la cadena de confianza del software program”, detalla la investigación que comenzó con un intento de ataque de ransomware en el que los atacantes utilizaron un controlador malicioso firmado con un certificado digital legítimo de Home windows {Hardware} Compatibility Writer de Microsoft. El controlador malicioso está diseñado para apuntar específicamente a los procesos utilizados por los principales paquetes de software program de detección y respuesta de punto remaining (EDR) y fue instalado por malware que se ha vinculado a actores de amenazas afiliados con Cuba ransomware, un grupo altamente prolífico que ha logrado se dirigió a más de 100 empresas en todo el mundo durante el año pasado. Sophos Fast Response pudo frustrar con éxito el ataque, y la investigación desencadenó una colaboración integral entre Sophos y Microsoft para tomar medidas y abordar la amenaza.
Los controladores pueden realizar operaciones altamente privilegiadas en los sistemas. Por ejemplo, los controladores en modo kernel pueden, entre otras cosas, finalizar muchos tipos de software program, incluido el de seguridad. Controlar qué controladores se pueden cargar es una forma de proteger las computadoras de esta vía de ataque. Home windows requiere que los controladores lleven una firma criptográfica, un “sello de aprobación”, antes de permitir que se cargue el controlador.
Sin embargo, no todos los certificados digitales utilizados para firmar controladores son igualmente confiables. Algunos certificados de firma digital, robados y filtrados a Web, luego fueron objeto de abuso para firmar malware; aún otros certificados han sido comprados y utilizados por editores de software program PUA sin escrúpulos. La investigación de Sophos de un controlador malicioso utilizado para sabotear las herramientas de seguridad de puntos finales durante la comisión de un ataque de ransomware reveló que los adversarios habían estado haciendo un esfuerzo concertado para pasar progresivamente de certificados digitales menos ampliamente confiables a otros más confiables.
“Estos atacantes, muy probablemente afiliados al grupo de ransomware Cuba, saben lo que están haciendo y son persistentes. Hemos encontrado un whole de 10 controladores maliciosos, todas variantes del descubrimiento inicial. Estos impulsores muestran un esfuerzo concertado para ascender en la cadena de confianza, y el impulsor más antiguo se remonta al menos a julio. Los más antiguos que hemos encontrado hasta la fecha estaban firmados por certificados de empresas chinas desconocidas; Luego continuaron y lograron firmar el controlador con un certificado NVIDIA válido, filtrado y revocado. Ahora, están usando un certificado de Microsoft, que es una de las autoridades más confiables en el ecosistema de Home windows. Si lo piensa como la seguridad de la empresa, los atacantes esencialmente han recibido identificaciones válidas de la empresa para ingresar al edificio sin cuestionar y hacer lo que quieran”, dijo Christopher Budd, gerente sénior de investigación de amenazas de Sophos.
Una mirada más cercana a los ejecutables utilizados en el intento de ataque de ransomware encontró que el controlador firmado malicioso se descargó en el sistema de destino con una variante del cargador BURNTCIGAR, una pieza conocida de malware afiliado al grupo de ransomware Cuba. Una vez que el cargador descarga el controlador en el sistema, este último espera que se inicie uno de los 186 nombres de archivo de programa diferentes comúnmente utilizados por los principales paquetes de software program EDR y seguridad de punto remaining y luego intenta finalizar esos procesos. Si tiene éxito, los atacantes pueden implementar el ransomware.
“En 2022, hemos visto a los atacantes de ransomware intentar cada vez más eludir los productos EDR de muchos, si no la mayoría, de los principales proveedores. La técnica más común se conoce como ‘traiga su propio conductor’, que BlackByte recientemente utilizado, e implica que los atacantes exploten una vulnerabilidad existente en un controlador legítimo. Crear un controlador malicioso desde cero y conseguir que una autoridad legítima lo firme es mucho más difícil. Sin embargo, si tienen éxito, es increíblemente efectivo porque el controlador puede llevar a cabo esencialmente cualquier proceso sin dudarlo. En el caso de este controlador en specific, prácticamente todo el software program EDR es susceptible; Afortunadamente, las protecciones antimanipulación adicionales de Sophos pudieron detener el ataque de ransomware. La comunidad de seguridad debe ser consciente de esta amenaza para que puedan implementar medidas de seguridad adicionales, como ojos en vidrio, donde sea necesario; además, es posible que veamos a otros atacantes intentar emular este tipo de ataque”, dijo Budd.
Al descubrir este controlador, Sophos alertó rápidamente a Microsoft y las dos empresas trabajaron juntas para resolver el problema. Microsoft ha publicado información en su aviso de seguridad con más información hoy como parte de Martes de parches.
Obtenga más información sobre este tema en el artículo, “El malware de controlador firmado asciende en la cadena de confianza del software program”, en Sophos.com.
Aprender más acerca de
Acerca de Sophos
Sophos es un líder mundial e innovador de soluciones avanzadas de ciberseguridad, que incluyen Managed Detection and Response (MDR) y servicios de respuesta a incidentes y una amplia cartera de tecnologías de seguridad para endpoints, redes, correo electrónico y nube que ayudan a las organizaciones a vencer los ciberataques. Como uno de los mayores proveedores de ciberseguridad pura, Sophos defiende a más de 500 000 organizaciones y más de 100 millones de usuarios en todo el mundo de adversarios activos, ransomware, phishing, malware y más. Los servicios y productos de Sophos se conectan a través de su consola de gestión Sophos Central basada en la nube y funcionan con Sophos X-Ops, la unidad de inteligencia de amenazas entre dominios de la empresa. La inteligencia de Sophos X-Ops optimiza todo el ecosistema de ciberseguridad adaptable de Sophos, que incluye un lago de datos centralizado que aprovecha un amplio conjunto de API abiertas disponibles para clientes, socios, desarrolladores y otros proveedores de ciberseguridad y tecnología de la información. Sophos proporciona ciberseguridad como servicio a las organizaciones que necesitan soluciones de seguridad listas para usar y completamente administradas. Los clientes también pueden administrar su seguridad cibernética directamente con la plataforma de operaciones de seguridad de Sophos o usar un enfoque híbrido al complementar sus equipos internos con los servicios de Sophos, que incluyen la detección y corrección de amenazas. Sophos vende a través de socios revendedores y proveedores de servicios administrados (MSP) en todo el mundo. Sophos tiene su sede en Oxford, Reino Unido. Más información disponible en www.sophos.com.
CONTACT: Contact: Samantha Powers, Sophos@walkersands.com
