Sicherheitsforscher sagen, sie hätten Beweise dafür, dass Bedrohungsakteure, die mit der kubanischen Ransomware-Bande verbunden sind, bei einem kürzlich versuchten Ransomware-Angriff bösartige Hardwaretreiber verwendet haben, die von Microsoft zertifiziert wurden.
Treiber – die Software, die es Betriebssystemen und Apps ermöglicht, auf Hardwaregeräte zuzugreifen und mit ihnen zu kommunizieren – erfordern hochprivilegierten Zugriff auf das Betriebssystem und seine Daten, weshalb Windows verlangt, dass Treiber eine genehmigte kryptografische Signatur tragen, bevor der Treiber geladen werden kann .
Diese Treiber werden seit langem von Cyberkriminellen missbraucht, die oft einen „Bring your own anfälligen Treiber“-Ansatz verfolgen, bei dem Hacker Schwachstellen ausnutzen, die in einem vorhandenen Windows-Treiber eines legitimen Softwareherstellers gefunden wurden. Forscher bei Sophos geben an, Hacker beobachtet zu haben, die konzertierte Anstrengungen unternommen haben, um schrittweise auf die Verwendung von vertrauenswürdigeren digitalen Zertifikaten hinzuarbeiten.
Bei der Untersuchung verdächtiger Aktivitäten in einem Kundennetzwerk entdeckte Sophos Beweise dafür, dass die mit Russland verbundene Kuba-Ransomware-Gang sich bemüht, in der Vertrauenskette nach oben zu klettern. Während ihrer Untersuchung stellte Sophos fest, dass die ältesten bösartigen Treiber der Bande aus dem Juli mit Zertifikaten chinesischer Unternehmen signiert waren, und begann dann, ihren bösartigen Treiber mit einem durchgesickerten, seitdem widerrufenen Nvidia-Zertifikat zu signieren, das in den von der Lapsus$-Ransomware-Gang abgelegten Daten gefunden wurde als es im März den Chiphersteller hackte.
Den Angreifern ist es nun gelungen, „Signage“ von Microsofts offiziellem Windows Hardware Developer Program zu erhalten, was bedeutet, dass jedes Windows-System der Malware grundsätzlich vertraut.
„Bedrohungsakteure steigen in der Vertrauenspyramide auf und versuchen, immer mehr vertrauenswürdige kryptografische Schlüssel zu verwenden, um ihre Treiber digital zu signieren“, schreiben die Sophos-Forscher Andreas Klopsch und Andrew Brandt in ein Blogbeitrag. „Signaturen von einem großen, vertrauenswürdigen Softwareherausgeber erhöhen die Wahrscheinlichkeit, dass der Treiber ungehindert in Windows geladen wird, und erhöhen die Wahrscheinlichkeit, dass Cuba-Ransomware-Angreifer die Sicherheitsprozesse beenden können, die die Computer ihrer Ziele schützen.“
Sophos fand heraus, dass die Kuba-Bande den böswillig signierten Treiber mithilfe einer Variante des sogenannten BurntCigar-Loaders, einer bekannten Malware, die der Ransomware-Gruppe angehört, die zuerst von Mandiant beobachtet wurde, auf ein Zielsystem schleuste. Die beiden werden zusammen verwendet, um zu versuchen, die Sicherheitstools zur Endpunkterkennung auf den Zielcomputern zu deaktivieren.
Bei Erfolg – was in diesem Fall nicht der Fall war – könnten die Angreifer die Ransomware auf den kompromittierten Systemen installieren.
Sophos, zusammen mit Forschern von Mandiant und SentinelOne, informierte Microsoft im Oktober darüber, dass durch legitime Zertifikate zertifizierte Treiber böswillig in Post-Exploitation-Aktivitäten verwendet wurden. Microsofts eigene Untersuchung ergab, dass mehrere Entwicklerkonten für das Microsoft Partner Center daran beteiligt waren, bösartige Treiber einzureichen, um eine Microsoft-Signatur zu erhalten.
„Laufende Analysen des Microsoft Threat Intelligence Center zeigen, dass die signierten bösartigen Treiber wahrscheinlich verwendet wurden, um Angriffsaktivitäten nach der Ausnutzung wie die Bereitstellung von Ransomware zu erleichtern“, sagte Microsoft sagte in einer Beratung veröffentlicht als Teil der monatlich geplanten Veröffentlichung von Sicherheitspatches, bekannt als Patch Tuesday. Microsoft sagte, es habe Windows-Sicherheitsupdates veröffentlicht, die das Zertifikat für betroffene Dateien widerrufen, und die Verkäuferkonten der Partner gesperrt.
Anfang dieses Monats enthüllte ein Gutachten der US-Regierung, dass die kubanische Ransomware-Bande weitere 60 Millionen US-Dollar durch Angriffe auf 100 Organisationen weltweit eingenommen hat. Das Gutachten warnte davor, dass die seit 2019 aktive Ransomware-Gruppe weiterhin auf US-Unternehmen in kritischen Infrastrukturen abzielt, darunter Finanzdienstleistungen, Regierungseinrichtungen, Gesundheitswesen und öffentliche Gesundheit sowie kritische Fertigungs- und Informationstechnologie.