सोफोस रैनसमवेयर हमलों को एक दुर्लभ, दुर्भावनापूर्ण ड्राइवर के साथ विफल करता है, लेकिन एक वैध Microsoft डिजिटल प्रमाणपत्र के साथ हस्ताक्षरित है। ड्राइवर एंडपॉइंट डिटेक्शन एंड रिस्पांस (EDR) प्रक्रियाओं को लक्षित करता है। यह हमला क्यूबा रैंसमवेयर ग्रुप से जुड़ा है।
सोफोस को वैध डिजिटल प्रमाणपत्रों के साथ हस्ताक्षरित कई ड्राइवरों में दुर्भावनापूर्ण कोड मिला। एक नई रिपोर्ट, साइन्ड ड्राइवर मालवेयर सॉफ्टवेयर ट्रस्ट चेन को ऊपर ले जाता है, उस जांच का विवरण देता है जो रैनसमवेयर हमले के प्रयास से शुरू हुई थी। हमलावरों ने एक दुर्भावनापूर्ण ड्राइवर का उपयोग किया था जिस पर माइक्रोसॉफ्ट से एक वैध विंडोज हार्डवेयर संगतता प्रकाशक डिजिटल प्रमाणपत्र के साथ हस्ताक्षर किए गए थे।
वैध Microsoft प्रमाणपत्रों के साथ दुर्भावनापूर्ण ड्राइवर
दुर्भावनापूर्ण ड्राइवर विशेष रूप से कुंजी एंडपॉइंट डिटेक्शन एंड रिस्पांस (ईडीआर) सॉफ़्टवेयर पैकेज द्वारा उपयोग की जाने वाली प्रक्रियाओं को लक्षित करता है। यह क्यूबा रैंसमवेयर ग्रुप से जुड़े खतरे के अभिनेताओं से जुड़े मैलवेयर द्वारा स्थापित किया गया था - एक विपुल समूह जिसने पिछले एक साल में दुनिया भर में 100 से अधिक कंपनियों पर सफलतापूर्वक हमला किया है। सोफोस रैपिड रिस्पांस ने हमले को सफलतापूर्वक विफल कर दिया। इस जांच ने सोफोस और माइक्रोसॉफ्ट के बीच कार्रवाई करने और खतरे को खत्म करने के लिए व्यापक सहयोग शुरू किया।
चोरी प्रमाण पत्र जारी
ड्राइवर सिस्टम पर अत्यधिक विशेषाधिकार प्राप्त संचालन कर सकते हैं। अन्य बातों के अलावा, कर्नेल-मोड ड्राइवर सुरक्षा सॉफ़्टवेयर सहित कई प्रकार के सॉफ़्टवेयर को समाप्त कर सकते हैं। यह नियंत्रित करना कि कौन से ड्राइवर लोड किए जा सकते हैं, कंप्यूटर को इस प्रकार के हमले से बचाने का एक तरीका है। विंडोज को ड्राइवर को लोड करने से पहले एक क्रिप्टोग्राफ़िक हस्ताक्षर - एक "अनुमोदन स्टैम्प" - ले जाने की आवश्यकता होती है।
हालाँकि, ड्राइवरों पर हस्ताक्षर करने के लिए उपयोग किए जाने वाले सभी डिजिटल प्रमाणपत्र समान रूप से विश्वसनीय नहीं हैं। कुछ चुराए गए और लीक हुए डिजिटल हस्ताक्षर प्रमाणपत्र बाद में मैलवेयर पर हस्ताक्षर करने के लिए उपयोग किए गए; अन्य प्रमाणपत्र बेईमान पीयूए सॉफ्टवेयर निर्माताओं द्वारा खरीदे और उपयोग किए गए थे। रैंसमवेयर हमले के दौरान समापन बिंदु सुरक्षा उपकरणों को नष्ट करने के लिए उपयोग किए गए एक दुर्भावनापूर्ण ड्राइवर की सोफोस की जांच में पाया गया कि हमलावरों ने कम-भरोसेमंद से अधिक-विश्वसनीय डिजिटल प्रमाणपत्रों की ओर बढ़ने के लिए एक ठोस प्रयास किया।
क्यूबा सबसे अधिक शामिल है
सोफोस में थ्रेट रिसर्च के सीनियर मैनेजर क्रिस्टोफर बड ने कहा, "ये हमलावर, क्यूबा रैंसमवेयर समूह के सबसे संभावित सदस्य हैं, जानते हैं कि वे क्या कर रहे हैं - और वे लगातार हैं।" "हमें कुल दस दुर्भावनापूर्ण ड्राइवर मिले, जिनमें से सभी मूल पहचान के भिन्न रूप हैं। ये ड्राइवर कम से कम जुलाई तक सबसे पुराने ड्राइवर के साथ भरोसे में वृद्धि के लिए एक ठोस प्रयास दिखाते हैं। अब तक हमने जो सबसे पुराने ड्राइवर पाए हैं, उन पर अज्ञात चीनी कंपनियों के प्रमाणपत्रों के साथ हस्ताक्षर किए गए थे। उसके बाद, वे ड्राइवर को एक वैध, लीक और निरस्त NVIDIA प्रमाणपत्र के साथ साइन करने में कामयाब रहे।
अब वे Microsoft के एक वैध Windows हार्डवेयर संगतता प्रकाशक डिजिटल प्रमाणपत्र का उपयोग कर रहे हैं, जो कि Windows पारिस्थितिकी तंत्र में सबसे भरोसेमंद संस्थाओं में से एक है। कॉर्पोरेट सुरक्षा के नजरिए से इसे देखते हुए, हमलावरों को बिना किसी सवाल के इमारत में प्रवेश करने और जैसा वे चाहते हैं वैसा करने के लिए वैध कॉर्पोरेट क्रेडेंशियल्स दिए गए थे, "क्रिस्टोफर बड ने जारी रखा।
प्रक्रिया समाप्ति का प्रयास
प्रयास किए गए रैंसमवेयर हमले में उपयोग की जाने वाली निष्पादन योग्य फ़ाइलों की एक करीबी परीक्षा से पता चला कि दुर्भावनापूर्ण हस्ताक्षरित ड्राइवर को BURNTCIGAR लोडर के एक संस्करण का उपयोग करके लक्ष्य प्रणाली में डाउनलोड किया गया था, जो कि क्यूबा रैनसमवेयर समूह से संबंधित एक ज्ञात मैलवेयर है। एक बार जब लोडर ड्राइवर को सिस्टम पर डाउनलोड कर लेता है, तो यह 186 अलग-अलग निष्पादन योग्य फ़ाइल नामों में से एक का इंतजार करता है, जो आमतौर पर मुख्य समापन बिंदु सुरक्षा और EDR सॉफ़्टवेयर पैकेज द्वारा उपयोग किया जाता है, और फिर उन प्रक्रियाओं को मारने का प्रयास करता है। सफल होने पर हमलावर रैंसमवेयर को तैनात कर सकते हैं।
सभी प्रमुख EDR उत्पादों को बायपास करने का प्रयास करें
"2022 में, हमने देखा है कि रैंसमवेयर हमलावर तेजी से कई प्रमुख निर्माताओं के EDR उत्पादों को बायपास करने का प्रयास कर रहे हैं," क्रिस्टोफर बड ने जारी रखा। "सबसे आम तकनीक 'ब्रिंग योर ओन ड्राइवर' के रूप में जानी जाती है, जिसे ब्लैकबाइट हाल ही में उपयोग कर रहा है। हमलावर एक वैध चालक में मौजूदा भेद्यता का फायदा उठाते हैं। एक दुर्भावनापूर्ण ड्राइवर को खरोंच से बनाना और इसे एक वैध प्राधिकरण द्वारा हस्ताक्षरित करना कहीं अधिक कठिन है। हालांकि, अगर यह सफल होता है, तो यह अविश्वसनीय रूप से प्रभावी होता है, क्योंकि ड्राइवर बिना किसी पूछताछ के जो भी प्रक्रिया चाहता है उसे चला सकता है।"
वस्तुतः सभी ईडीआर सॉफ्टवेयर असुरक्षित हैं
इस विशेष ड्राइवर के मामले में, वस्तुतः कोई भी EDR सॉफ़्टवेयर असुरक्षित है। सौभाग्य से, सोफोस के अतिरिक्त छेड़छाड़ सुरक्षा उपाय रैंसमवेयर हमले को रोकने में सक्षम थे। अतिरिक्त सुरक्षा उपायों को लागू करने के लिए सुरक्षा समुदाय को इस खतरे से अवगत होने की आवश्यकता है। यह माना जा सकता है कि अन्य हमलावर इस मॉडल की नकल करेंगे।
Sophos.com पर अधिक
सोफोस के बारे में सोफोस पर 100 देशों में 150 मिलियन से अधिक उपयोगकर्ता भरोसा करते हैं। हम जटिल आईटी खतरों और डेटा हानि के विरुद्ध सर्वोत्तम सुरक्षा प्रदान करते हैं। हमारे व्यापक सुरक्षा समाधानों को तैनात करना, उपयोग करना और प्रबंधित करना आसान है। वे उद्योग में स्वामित्व की सबसे कम कुल लागत की पेशकश करते हैं। सोफोस पुरस्कार विजेता एन्क्रिप्शन समाधान, एंडपॉइंट, नेटवर्क, मोबाइल डिवाइस, ईमेल और वेब के लिए सुरक्षा समाधान प्रदान करता है। मालिकाना विश्लेषण केंद्रों के हमारे वैश्विक नेटवर्क सोफोसलैब्स से भी समर्थन प्राप्त है। सोफोस का मुख्यालय बोस्टन, यूएसए और ऑक्सफोर्ड, यूके में है।