A Sophos impede ataques de ransomware com um driver mal-intencionado raro, mas assinado com um certificado digital válido da Microsoft. O driver tem como alvo os processos de detecção e resposta de endpoint (EDR). O ataque está vinculado ao Cuba Ransomware Group.
A Sophos encontrou código malicioso em vários drivers assinados com certificados digitais legítimos. Um novo relatório, Signed Driver Malware Moves up the Software Trust Chain, detalha a investigação que começou com uma tentativa de ataque de ransomware. Os invasores usaram um driver malicioso assinado com um certificado digital legítimo do Windows Hardware Compatibility Publisher da Microsoft.
Drivers maliciosos com certificados válidos da Microsoft
O driver malicioso visa especificamente os processos usados pelos principais pacotes de software Endpoint Detection and Response (EDR). Ele foi instalado por malware associado a agentes de ameaças associados ao Cuba Ransomware Group - um grupo prolífico que atacou com sucesso mais de 100 empresas em todo o mundo no ano passado. O Sophos Rapid Response frustrou com sucesso o ataque. Essa investigação desencadeou uma extensa colaboração entre a Sophos e a Microsoft para agir e eliminar a ameaça.
Problema de certificado roubado
Os drivers podem executar operações altamente privilegiadas em sistemas. Entre outras coisas, os drivers de modo kernel podem encerrar muitos tipos de software, incluindo software de segurança. Controlar quais drivers podem ser carregados é uma forma de proteger os computadores desse tipo de ataque. O Windows exige que os drivers tenham uma assinatura criptográfica - um "carimbo de aprovação" - antes que o driver possa ser carregado.
No entanto, nem todos os certificados digitais usados para assinar drivers são igualmente confiáveis. Alguns certificados de assinatura digital roubados e vazados foram posteriormente usados para assinar malware; outros certificados foram comprados e usados por fabricantes de software PUA sem escrúpulos. A investigação da Sophos sobre um driver malicioso usado para sabotar ferramentas de segurança de endpoint durante um ataque de ransomware descobriu que os invasores usaram um esforço conjunto para passar de certificados digitais menos confiáveis para certificados digitais mais confiáveis.
Cuba provavelmente envolvida
“Esses invasores, provavelmente membros do grupo de ransomware de Cuba, sabem o que estão fazendo – e são persistentes”, disse Christopher Budd, gerente sênior de pesquisa de ameaças da Sophos. "Encontramos um total de dez drivers maliciosos, todos variantes da detecção original. Esses motoristas mostram um esforço concentrado para aumentar a confiabilidade, com o motorista mais antigo datando de pelo menos julho. Os drivers mais antigos que encontramos até agora foram assinados com certificados de empresas chinesas desconhecidas. Depois disso, eles conseguiram assinar o driver com um certificado NVIDIA válido, vazado e revogado.
Agora eles estão usando um certificado digital legítimo do Windows Hardware Compatibility Publisher da Microsoft, uma das entidades mais confiáveis no ecossistema do Windows. Olhando para isso de uma perspectiva de segurança corporativa, os invasores receberam credenciais corporativas válidas para entrar no prédio sem questionar e fazer o que quisessem”, continuou Christopher Budd.
Tentativa de encerramento do processo
Um exame mais detalhado dos arquivos executáveis usados na tentativa de ataque de ransomware revelou que o driver assinado malicioso foi baixado no sistema de destino usando uma variante do carregador BURNTCIGAR, um malware conhecido pertencente ao grupo de ransomware Cuba. Depois que o carregador baixa o driver no sistema, ele espera que um dos 186 nomes de arquivos executáveis diferentes comumente usados pelos principais pacotes de software de segurança de endpoint e EDR seja iniciado e, em seguida, tenta encerrar esses processos. Se forem bem-sucedidos, os invasores podem implantar o ransomware.
Tentar ignorar todos os principais produtos EDR
“Em 2022, observamos que os invasores de ransomware estão cada vez mais tentando contornar os produtos EDR de muitos, senão da maioria, dos principais fabricantes”, continuou Christopher Budd. “A técnica mais comum é conhecida como 'traga seu próprio driver', que a BlackByte vem usando recentemente. Os invasores exploram uma vulnerabilidade existente em um driver legítimo. É muito mais difícil criar um driver malicioso do zero e assiná-lo por uma autoridade legítima. No entanto, se for bem-sucedido, é incrivelmente eficaz, pois o motorista pode executar qualquer processo que desejar sem ser questionado."
Praticamente todos os softwares de EDR são vulneráveis
No caso desse driver específico, praticamente qualquer software EDR é vulnerável. Felizmente, as medidas adicionais de proteção contra adulteração da Sophos foram capazes de interromper o ataque de ransomware. A comunidade de segurança precisa estar ciente dessa ameaça para implementar medidas de segurança adicionais. Pode-se supor que outros invasores irão imitar esse modelo.”
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.