Los expertos de Sophos han descubierto 100 controladores maliciosos firmados por Microsoft Windows Hardware Compatibility Publisher (WHCP). La mayoría son los llamados "asesinos de EDR" diseñados específicamente para atacar y eliminar varios software de EDR/AV en los sistemas de las víctimas.
Sophos X-Ops ha detectado 133 controladores maliciosos firmados con certificados digitales legítimos; 100 de ellos fueron firmados por Microsoft Windows Hardware Compatibility Publisher (WHCP). Todos los sistemas Windows confían inherentemente en los controladores firmados por WHCP, lo que permite a los atacantes instalarlos sin generar una alerta y luego llevar a cabo actividades maliciosas prácticamente sin obstáculos.
Los controladores paralizan el software EDR y AV
De los controladores encontrados, 81 eran los llamados "asesinos de EDR" diseñados específicamente para atacar y terminar varios software de EDR/AV en los sistemas de las víctimas. Estos controladores son similares a los descubiertos anteriormente por Sophos X-Ops en diciembre de 2022. Los controladores restantes, 32 de los cuales fueron firmados por WHCP, eran rootkits. Muchos de estos programas están diseñados para monitorear en secreto datos confidenciales enviados a través de Internet. X-Ops informó de inmediato los controladores maliciosos a Microsoft al descubrirlos y los problemas se solucionaron con el último parche del martes.
Los detalles completos de la investigación están disponibles en el artículo del blog X—Ops. Esta publicación es una continuación de una publicación de diciembre de 2022 en la que Sophos, Mandiant y SentinelOne informaron sobre la firma de varios controladores por parte de Microsoft. Estos controladores se dirigieron específicamente a una amplia gama de software AV/EDR.
Preocupante aumento de la actividad
"Desde octubre del año pasado, hemos observado un aumento preocupante en la actividad de los delincuentes que explotan controladores firmados maliciosamente para llevar a cabo varios ataques cibernéticos, incluido el ransomware. En ese momento, asumimos que los atacantes continuarían explotando este vector de ataque, y ahora se ha demostrado que es así. Dado que los controladores a menudo se comunican con el "núcleo" del sistema operativo y, por lo tanto, se cargan antes que el software de seguridad, pueden ser particularmente efectivos para deshabilitar las medidas de seguridad si se usan incorrectamente, especialmente si están firmados por una autoridad confiable.
Muchos de los controladores maliciosos que detectamos fueron diseñados específicamente para atacar y "apagar" los productos EDR, lo que deja a los sistemas afectados vulnerables a una variedad de actividades maliciosas. Es difícil obtener una firma para un controlador malicioso, por lo que esta técnica es utilizada principalmente por actores de amenazas avanzadas en ataques dirigidos. Además, estos controladores en particular no son específicos del proveedor, se dirigen a una amplia gama de software EDR. Por esta razón, todos los equipos de seguridad de TI deben abordar el tema e implementar medidas de protección adicionales si es necesario. Es importante que las organizaciones implementen los parches proporcionados por Microsoft el martes de parches”, dijo Christopher Budd, director de investigación de amenazas en Sophos X-Ops.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.