Sophos frustra los ataques de ransomware con un controlador malicioso raro, pero firmado con un certificado digital válido de Microsoft. El controlador tiene como objetivo los procesos de detección y respuesta de punto final (EDR). El ataque está vinculado al Cuba Ransomware Group.
Sophos encontró código malicioso en varios controladores firmados con certificados digitales legítimos. Un nuevo informe, Signed Driver Malware Moves up the Software Trust Chain, detalla la investigación que comenzó con un intento de ataque de ransomware. Los atacantes utilizaron un controlador malicioso que estaba firmado con un certificado digital legítimo de Windows Hardware Compatibility Publisher de Microsoft.
Controladores maliciosos con certificados de Microsoft válidos
El controlador malicioso apunta específicamente a los procesos utilizados por los paquetes de software clave de detección y respuesta de puntos finales (EDR). Fue instalado por malware asociado con actores de amenazas asociados con Cuba Ransomware Group, un grupo prolífico que ha atacado con éxito a más de 100 empresas en todo el mundo durante el último año. Sophos Rapid Response frustró con éxito el ataque. Esta investigación desencadenó una amplia colaboración entre Sophos y Microsoft para tomar medidas y eliminar la amenaza.
Problema de certificado robado
Los controladores pueden realizar operaciones altamente privilegiadas en los sistemas. Entre otras cosas, los controladores en modo kernel pueden finalizar muchos tipos de software, incluido el software de seguridad. Controlar qué controladores se pueden cargar es una forma de proteger las computadoras de este tipo de ataque. Windows requiere que los controladores lleven una firma criptográfica, un "sello de aprobación", antes de que se pueda cargar el controlador.
Sin embargo, no todos los certificados digitales utilizados para firmar controladores son igualmente confiables. Algunos certificados de firma digital robados y filtrados se utilizaron posteriormente para firmar malware; otros certificados fueron comprados y utilizados por creadores de software PUA sin escrúpulos. La investigación de Sophos sobre un controlador malicioso utilizado para sabotear las herramientas de seguridad de puntos finales durante un ataque de ransomware descubrió que los atacantes realizaron un esfuerzo concertado para pasar de certificados digitales menos confiables a más confiables.
Cuba muy probablemente involucrada
"Estos atacantes, muy probablemente miembros del grupo de ransomware Cuba, saben lo que están haciendo y son persistentes", dijo Christopher Budd, gerente sénior de investigación de amenazas en Sophos. "Encontramos un total de diez controladores maliciosos, todos los cuales son variantes de la detección original. Estos controladores muestran un esfuerzo concertado para aumentar la confiabilidad, y el controlador más antiguo se remonta al menos a julio. Los controladores más antiguos que hemos encontrado hasta ahora estaban firmados con certificados de compañías chinas desconocidas. Después de eso, lograron firmar el controlador con un certificado NVIDIA válido, filtrado y revocado.
Ahora están usando un certificado digital de editor de compatibilidad de hardware de Windows legítimo de Microsoft, una de las entidades más confiables en el ecosistema de Windows. Mirándolo desde una perspectiva de seguridad corporativa, los atacantes recibieron credenciales corporativas válidas para ingresar al edificio sin cuestionamientos y hacer lo que quisieran”, continuó Christopher Budd.
Intentando terminar el proceso
Un examen más detallado de los archivos ejecutables utilizados en el intento de ataque de ransomware reveló que el controlador malicioso firmado se descargó en el sistema de destino utilizando una variante del cargador BURNTCIGAR, un malware conocido que pertenece al grupo de ransomware Cuba. Una vez que el cargador ha descargado el controlador en el sistema, espera a que se inicie uno de los 186 nombres de archivos ejecutables diferentes comúnmente utilizados por los paquetes de software EDR y seguridad de punto final clave, y luego intenta eliminar esos procesos. Si tiene éxito, los atacantes pueden implementar el ransomware.
Intento de eludir todos los principales productos EDR
"En 2022, hemos observado que los atacantes de ransomware intentan cada vez más eludir los productos EDR de muchos, si no la mayoría, de los principales fabricantes", continuó Christopher Budd. “La técnica más común se conoce como 'traiga su propio controlador', que BlackByte ha estado utilizando recientemente. Los atacantes explotan una vulnerabilidad existente en un controlador legítimo. Es mucho más difícil construir un controlador malicioso desde cero y hacer que lo firme una autoridad legítima. Sin embargo, si tiene éxito, es increíblemente eficaz, ya que el controlador puede ejecutar los procesos que quiera sin que se le cuestione".
Prácticamente todo el software EDR es vulnerable
En el caso de este controlador en particular, prácticamente cualquier software EDR es vulnerable. Afortunadamente, las medidas adicionales de protección contra manipulaciones de Sophos pudieron detener el ataque de ransomware. La comunidad de seguridad debe ser consciente de esta amenaza para implementar medidas de seguridad adicionales. Se puede suponer que otros atacantes imitarán este modelo”.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.