Sophos contrasta gli attacchi ransomware con un driver raro e dannoso, ma firmato con un certificato digitale Microsoft valido. Il driver si rivolge ai processi di rilevamento e risposta degli endpoint (EDR). L'attacco è legato al Cuba Ransomware Group.
Sophos ha trovato codice dannoso in diversi driver firmati con certificati digitali legittimi. Un nuovo rapporto, Signed Driver Malware Moves up the Software Trust Chain, descrive in dettaglio l'indagine iniziata con un tentativo di attacco ransomware. Gli aggressori hanno utilizzato un driver dannoso firmato con un certificato digitale legittimo Windows Hardware Compatibility Publisher di Microsoft.
Driver dannosi con certificati Microsoft validi
Il driver dannoso prende di mira specificamente i processi utilizzati dai principali pacchetti software Endpoint Detection and Response (EDR). È stato installato da malware associato ad attori di minacce associati al Cuba Ransomware Group, un prolifico gruppo che ha attaccato con successo più di 100 aziende in tutto il mondo nell'ultimo anno. Sophos Rapid Response ha sventato con successo l'attacco. Questa indagine ha innescato un'ampia collaborazione tra Sophos e Microsoft per agire ed eliminare la minaccia.
Problema di certificato rubato
I driver possono eseguire operazioni con privilegi elevati sui sistemi. Tra le altre cose, i driver in modalità kernel possono terminare molti tipi di software, incluso il software di sicurezza. Controllare quali driver possono essere caricati è un modo per proteggere i computer da questo tipo di attacco. Windows richiede ai driver di portare una firma crittografica - un "timbro di approvazione" - prima che il driver possa essere caricato.
Tuttavia, non tutti i certificati digitali utilizzati per firmare i driver sono ugualmente attendibili. Alcuni certificati di firma digitale rubati e trapelati sono stati successivamente utilizzati per firmare malware; altri certificati sono stati acquistati e utilizzati da produttori di software PUA senza scrupoli. L'indagine di Sophos su un driver dannoso utilizzato per sabotare gli strumenti di sicurezza degli endpoint durante un attacco ransomware ha rilevato che gli aggressori hanno compiuto uno sforzo concertato per passare da certificati digitali meno affidabili a certificati più affidabili.
Cuba molto probabilmente coinvolta
"Questi aggressori, molto probabilmente membri del gruppo ransomware Cuba, sanno cosa stanno facendo e sono persistenti", ha affermato Christopher Budd, senior manager, ricerca sulle minacce di Sophos. "Abbiamo trovato un totale di dieci driver dannosi, tutti varianti del rilevamento originale. Questi driver mostrano uno sforzo concertato per aumentare l'affidabilità, con il driver più anziano che risale almeno a luglio. I driver più vecchi che abbiamo trovato finora erano firmati con certificati di aziende cinesi sconosciute. Successivamente, sono riusciti a firmare il driver con un certificato NVIDIA valido, trapelato e revocato.
Ora usano un legittimo certificato digitale di Windows Hardware Compatibility Publisher di Microsoft, una delle entità più affidabili nell'ecosistema Windows. Dal punto di vista della sicurezza aziendale, agli aggressori sono state fornite credenziali aziendali valide per entrare nell'edificio senza fare domande e fare ciò che vogliono", ha continuato Christopher Budd.
Tentativo di terminazione del processo
Un esame più attento dei file eseguibili utilizzati nel tentativo di attacco ransomware ha rivelato che il driver firmato malevolo è stato scaricato sul sistema di destinazione utilizzando una variante del caricatore BURNTCIGAR, un noto malware appartenente al gruppo Cuba ransomware. Una volta che il caricatore ha scaricato il driver sul sistema, attende l'avvio di uno dei 186 diversi nomi di file eseguibili comunemente utilizzati dai pacchetti software chiave per la sicurezza degli endpoint e EDR, quindi tenta di terminare quei processi. In caso di successo, gli aggressori possono distribuire il ransomware.
Tentativo di bypassare tutti i principali prodotti EDR
"Nel 2022, abbiamo osservato che gli aggressori ransomware stanno tentando sempre più di aggirare i prodotti EDR di molti, se non della maggior parte, dei principali produttori", ha continuato Christopher Budd. “La tecnica più comune è nota come 'porta il tuo driver', che BlackByte ha utilizzato di recente. Gli aggressori sfruttano una vulnerabilità esistente in un driver legittimo. È molto più difficile creare un driver dannoso da zero e farlo firmare da un'autorità legittima. Tuttavia, se ha successo, è incredibilmente efficace, poiché il conducente può eseguire qualsiasi processo desideri senza essere interrogato."
Praticamente tutto il software EDR è vulnerabile
Nel caso di questo particolare driver, praticamente qualsiasi software EDR è vulnerabile. Fortunatamente, le ulteriori misure di protezione antimanomissione di Sophos sono state in grado di fermare l'attacco ransomware. La comunità della sicurezza deve essere consapevole di questa minaccia per implementare ulteriori misure di sicurezza. Si può presumere che altri aggressori imiteranno questo modello”.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.