Menos de dos hace semanas, la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos y el FBI lanzaron un asesoramiento conjunto sobre la amenaza de ataques de ransomware de una pandilla que se hace llamar “Cuba.” El grupo, que los investigadores creen que tiene su sede en Rusia, ha estado alborotado durante el año pasado dirigido a un número creciente de empresas y otras instituciones en los Estados Unidos y en el extranjero. Nueva investigación lanzado hoy indica que Cuba ha estado usando piezas de malware en sus ataques que fueron certificados, o con un sello de aprobación, por Microsoft.
Cuba utilizó estos controladores “firmados criptográficamente” después de comprometer los sistemas de un objetivo como parte de los esfuerzos para desactivar las herramientas de escaneo de seguridad y cambiar la configuración. La actividad estaba destinada a volar por debajo del radar, pero fue marcada por herramientas de monitoreo de la firma de seguridad Sophos. Investigadores de la Unidad 42 de Palo Alto Networks observaron previamente que Cuba firmaba un software privilegiado conocido como controlador de kernel “” con un certificado NVIDIA que era filtrado a principios de este año por el Grupo de piratería Lapsus $. Y Sophos dice que también ha visto al grupo usar la estrategia con certificados comprometidos de al menos otra compañía tecnológica china, que la firma de seguridad Mandiant identificó como Zhuhai Liancheng Technology Co.
“Microsoft fue informado recientemente de que los controladores certificados por el Programa de Desarrollador de Hardware de Windows de Microsoft se estaban utilizando maliciosamente en la actividad posterior a la explotación,” dijo la compañía en un aviso de seguridad hoy. “Varias cuentas de desarrolladores para Microsoft Partner Center se dedicaron a enviar controladores maliciosos para obtener una firma de Microsoft … Los controladores maliciosos firmados probablemente se usaron para facilitar la actividad de intrusión posterior a la explotación, como el despliegue de ransomware.”
Sophos notificó a Microsoft sobre la actividad el 19 de octubre junto con Mandiante y firma de seguridad SentinelOne. Microsoft dice que suspendió las cuentas del Centro de socios que estaban siendo abusadas, revocó los certificados deshonestos y lanzó actualizaciones de seguridad para Windows relacionadas con la situación. La compañía agrega que no ha identificado ningún compromiso de sus sistemas más allá del abuso de la cuenta de socios.
-Microsoft rechazó la solicitud de comentar más allá del aviso
“Estos atacantes, probablemente afiliados del grupo de ransomware de Cuba, saben lo que están haciendo, y son persistentes «, dice Christopher Budd, director de investigación de amenazas en Sophos. “Hemos encontrado un total de 10 controladores maliciosos, todas las variantes del descubrimiento inicial. Estos conductores muestran un esfuerzo concertado para ascender en la cadena de confianza, comenzando al menos en julio pasado. Es difícil crear un controlador malicioso desde cero y firmarlo por una autoridad legítima. Sin embargo, es increíblemente efectivo, porque el conductor puede llevar a cabo cualquier proceso sin ninguna duda.»
La firma de software criptográfico es un mecanismo de validación importante destinado a garantizar que el software haya sido examinado y ungido por una parte de confianza o una autoridad de certificación “.” Sin embargo, los atacantes siempre buscan debilidades en esta infraestructura, donde pueden comprometer los certificados o socavar y abusar del proceso de firma para legitimar su malware.
“Mandiant ha observado previamente escenarios cuando se sospecha que los grupos aprovechan un servicio penal común para la firma de códigos,” la compañía escrita en un informe publicado hoy. “El uso de certificados de firma de código robados u obtenidos de manera fraudulenta por parte de actores de amenazas ha sido una táctica común, y proporcionar estos certificados o servicios de firma ha demostrado ser un nicho lucrativo en la economía subterránea.”
A principios de este mes, Google publicó hallazgos de que varios certificados de plataforma comprometidos “” administrado por fabricantes de dispositivos Android, incluidos Samsung y LG, se había utilizado para firmar aplicaciones maliciosas de Android distribuidas a través de canales de terceros. Eso aparece al menos un poco de los certificados comprometidos se utilizaron para firmar componentes de la herramienta de acceso remoto de Manuscrypt. El FBI y CISA tienen previamente atribuido actividad asociada con la familia de malware Manuscrypt a piratas informáticos respaldados por el estado de Corea del Norte que se dirigen a plataformas e intercambios de criptomonedas.
“En 2022, hemos visto a atacantes de ransomware intentando cada vez más evitar la detección de punto final y los productos de respuesta de muchos, si no la mayoría, de los principales proveedores,” dice Sophos ‘Budd. “La comunidad de seguridad debe ser consciente de esta amenaza para que puedan implementar medidas de seguridad adicionales. Además, podemos ver a otros atacantes intentar emular este tipo de ataque.” Con tantos certificados comprometidos volando, parece que muchos atacantes ya han recibido el memorando sobre cómo avanzar hacia esta estrategia.