0
0
MENOS DE DOISsemanas atrás, a Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos e o FBI divulgaram um comunicado conjunto sobre a ameaça de ataques de ransomware de uma gangue que se autodenomina “Cuba”. O grupo, que os pesquisadores acreditam ser, de fato, sediado na Rússia, tem estado furioso no ano passado visando um número crescente de empresas e outras instituições nos Estados Unidos e no exterior. Novas pesquisas divulgadas hoje indicam que Cuba tem usado malwares em seus ataques que foram certificados ou com selo de aprovação da Microsoft.
Cuba usou esses “drivers” assinados criptograficamente depois de comprometer os sistemas de um alvo como parte dos esforços para desabilitar as ferramentas de verificação de segurança e alterar as configurações. A atividade deveria passar despercebida, mas foi sinalizada por ferramentas de monitoramento da empresa de segurança Sophos. Pesquisadores da Unidade 42 da Palo Alto Networks observaram anteriormente Cuba assinando um software privilegiado conhecido como “driver de kernel” com um certificado NVIDIA que vazou no início deste ano pelo grupo de hackers Lapsus$ . E a Sophos diz que também viu o grupo usar a estratégia com certificados comprometidos de pelo menos uma outra empresa de tecnologia chinesa, que a empresa de segurança Mandiant identificou como Zhuhai Liancheng Technology Co.
“A Microsoft foi recentemente informada de que os drivers certificados pelo Windows Hardware Developer Program da Microsoft estavam sendo usados de forma maliciosa em atividades pós-exploração”, disse a empresa em um comunicado de segurança hoje. “Várias contas de desenvolvedores para o Microsoft Partner Center estavam envolvidas no envio de drivers maliciosos para obter uma assinatura da Microsoft… Os drivers maliciosos assinados provavelmente foram usados para facilitar a atividade de intrusão pós-exploração, como a implantação de ransomware.”
A Sophos notificou a Microsoft sobre a atividade em 19 de outubro junto com a Mandiant e a empresa de segurança SentinelOne . A Microsoft diz que suspendeu as contas do Partner Center que estavam sendo abusadas, revogou os certificados não autorizados e lançou atualizações de segurança para o Windows relacionadas à situação. A empresa acrescenta que não identificou nenhum comprometimento de seus sistemas além do abuso da conta do parceiro.
A Microsoft recusou o pedido da WIRED para comentar além do comunicado.
“Esses invasores, provavelmente afiliados do grupo de ransomware de Cuba, sabem o que estão fazendo — e são persistentes”, diz Christopher Budd, diretor de pesquisa de ameaças da Sophos. “Encontramos um total de 10 drivers maliciosos, todas as variantes da descoberta inicial. Esses drivers mostram um esforço concentrado para subir na cadeia de confiança, começando pelo menos em julho passado. Criar um driver malicioso do zero e fazer com que ele seja assinado por uma autoridade legítima é difícil. No entanto, é incrivelmente eficaz, porque o motorista pode essencialmente realizar qualquer processo sem questionar.”
A assinatura criptográfica de software é um importante mecanismo de validação destinado a garantir que o software foi examinado e aprovado por uma parte confiável ou “autoridade certificadora”. Os invasores estão sempre procurando pontos fracos nessa infraestrutura, onde podem comprometer os certificados ou prejudicar e abusar do processo de assinatura para legitimar seu malware.
“A Mandiant já observou cenários em que se suspeita que grupos utilizam um serviço criminoso comum para assinatura de código”, escreveu a empresa em um relatóriopublicado hoje. “O uso de certificados de assinatura de código roubados ou obtidos de forma fraudulenta por agentes de ameaças tem sido uma tática comum, e fornecer esses certificados ou serviços de assinatura provou ser um nicho lucrativo na economia subterrânea”.
No início deste mês, o Google publicou descobertas de que vários “certificados de plataforma” comprometidos, gerenciados por fabricantes de dispositivos Android, incluindo Samsung e LG, foram usados para assinar aplicativos Android maliciosos distribuídos por canais de terceiros. Parece que pelo menos alguns dos certificados comprometidos foram usados para assinar componentes da ferramenta de acesso remoto Manuscrypt . O FBI e a CISA já haviam atribuído atividades associadas à família de malware Manuscrypt a hackers apoiados pelo estado norte-coreano visando plataformas e exchanges de criptomoedas.
“Em 2022, vimos invasores de ransomware cada vez mais tentando contornar a detecção de endpoint e produtos de resposta de muitos, senão da maioria, dos principais fornecedores”, diz Budd, da Sophos. “A comunidade de segurança precisa estar ciente dessa ameaça para que possa implementar medidas de segurança adicionais. Além disso, podemos ver outros invasores tentando imitar esse tipo de ataque.”
Com tantos certificados comprometidos voando por aí, parece que muitos invasores já receberam o memorando sobre a mudança para essa estratégia.
FONTE: WIRED