Sophos impede ataque de ransomware por driver malicioso raro assinado com certificado legítimo

A Sophos, líder global em inovação e entrega de cibersegurança como serviço, revelou hoje que encontrou um código malicioso em diversos drivers assinados por certificados digitais legítimos. O último relatório da companhia, intitulado “Signed Driver Malware Moves up the Software Trust Chain”, detalha a investigação que começou com uma tentativa de ataque de ransomware na qual os cibercriminosos usavam um driver com certificado legítimo do Windows Hardware Compatibility Publisher, da Microsoft. O programa foi projetado para atingir especificamente os processos usados ​​pelos principais pacotes de software de detecção e resposta de endpoints (EDR) e foi instalado por um malware vinculado a agentes de ameaças afiliados ao ransomware Cuba, um grupo altamente ativo que atingiu mais de 100 empresas globalmente no último ano. O Sophos Rapid Response foi capaz de interceptar o ataque com sucesso, e a investigação desencadeou uma colaboração abrangente entre a Sophos e a Microsoft para agir e lidar com a ameaça.

Os drivers podem executar operações bastante privilegiadas em sistemas. Por exemplo, os drivers de modo kernel podem, entre outras coisas, finalizar diversos tipos de software, incluindo os de segurança. Controlar quais deles podem ser carregados é uma forma de proteger os computadores desse tipo de ataque. O Windows exige que os drivers tenham uma assinatura criptográfica – um “selo de aprovação” – antes de permitir o carregamento.

No entanto, nem todos os certificados digitais usados ​​para assiná-los são confiáveis. Alguns deles – de assinatura digital, roubados e vazados na internet – foram posteriormente usados ​​para assinar um malware e outros foram comprados e usados ​​por editores de software PUA, sem hesitação. A investigação da Sophos sobre um driver malicioso usado para sabotar as ferramentas de segurança de endpoint, durante a realização de um ataque de ransomware, revelou que os cibercriminosos estavam fazendo um esforço em conjunto para mudar progressivamente de certificados digitais menos confiáveis para outros que sejam legítimos.

“Esses invasores, provavelmente afiliados do grupo de ransomware Cuba, sabem o que estão fazendo – e são persistentes. Encontramos um total de 10 drivers maliciosos, todos variantes da descoberta inicial. Esses drivers mostram um esforço concentrado para subir na cadeia de confiança, já que o mais antigo deles data, ao menos, de julho. Os mais velhos que encontramos até agora foram assinados por certificados de empresas chinesas desconhecidas, e eles seguiram em frente, conseguindo assinar o driver com um certificado NVIDIA válido, vazado e revogado. Agora, eles estão usando um certificado da Microsoft, que é uma das autoridades mais confiáveis ​​do ecossistema Windows. Se você pensar sobre isso como segurança de uma empresa, os invasores basicamente receberam IDs válidos da companhia para entrar no prédio sem questionamentos e fazer o que quiserem”, explica Christopher Budd, gerente sênior de pesquisa de ameaças da Sophos.

Uma análise mais detalhada dos executáveis ​​utilizados na tentativa de ataque de ransomware descobriu que o driver assinado foi baixado no sistema de destino com uma variante do carregador BURNTCIGAR, um malware conhecido afiliado ao grupo de ransomware Cuba. Uma vez que o carregador baixa o driver no sistema, o último espera por um dos 186 nomes de arquivo de programa diferentes comumente usados ​​pelos principais pacotes de software de segurança de endpoint e EDR para iniciar e, em seguida, tenta encerrar esses processos. Se forem bem sucedidos, os invasores podem implementar o ransomware.

“Em 2022, vimos cada vez mais os grupos de ransomware tentarem contornar os produtos EDR de muitos – senão da maioria – dos principais fornecedores. A técnica mais comum é conhecida como 'traga seu próprio driver', usada recentemente pelo BlackByte, e envolve invasores que exploram uma vulnerabilidade existente em um driver legítimo. Criar um driver malicioso do zero e assiná-lo por uma autoridade autêntica é muito mais difícil, no entanto, caso tenham sucesso, é incrivelmente eficaz, porque ele pode executar qualquer processo sem questionamentos. No caso desse driver específico, praticamente todos os softwares de EDR são vulneráveis, mas, felizmente, as proteções anti-adulteração adicionais da Sophos foram capazes de interromper o ataque de ransomware. A comunidade de segurança precisa estar ciente dessa ameaça para que possa implementar medidas de segurança adicionais. Além do mais, podemos ver outros invasores tentando emular esse tipo de ataque”, diz Budd.

Ao descobrir esse driver, a Sophos imediatamente alertou a Microsoft e as duas empresas trabalharam juntas para resolver o problema. A Microsoft divulgou informações em seu comunicado de segurança com mais dados, como parte do Patch Tuesday.

Saiba mais sobre este tópico no artigo, “Signed Driver Malware Moves up the Software Trust Chain”, em Sophos.com.

Informações adicionais

BlackByte ransomware usando BYOD em uma tentativa de contornar produtos EDR;

O cenário de ameaças e as tendências que afetam a segurança cibernética no Relatório de Ameaças Sophos 2023;

Sophos X-Ops e sua pesquisa inovadora sobre ameaças assinando os blogs Sophos X-Ops;

Tempo de permanência do invasor e insights sobre táticas, técnicas e procedimentos (TTPs) no Sophos Active Adversary Playbook 2022;

A prevalência global e o impacto do ransomware no relatório State of Ransomware 2022;

Ransomware, nome a nome, no Ransomware Threat Intelligence Center.

Sobre a Sophos

A Sophos é líder mundial e inovadora em soluções avançadas de cibersegurança, incluindo Detecção e Resposta Gerenciada (MDR), serviços de atendimento a incidentes e um vasto portfólio de tecnologias de endpoint, rede, email e segurança em nuvem, que ajudam as organizações a combater ataques cibernéticos. Como um dos maiores fornecedores de segurança cibernética pura, a Sophos protege mais de 500 mil organizações e 100 milhões de usuários em todo o mundo contra adversários ativos, ransomware, phishing, malware e muito mais. Os serviços e produtos da companhia se conectam por meio do console de gestão Sophos Central com base na nuvem, e mantidos pelo Sophos X-Ops, unidade de inteligência de ameaças entre domínios. O Sophos X-Ops intelligence otimiza todo o ecossistema Sophos Adaptive Cybersecurity, incluindo uma série de dados centralizados que potencializa um rico conjunto de APIs abertas disponíveis para clientes, parceiros, desenvolvedores e outros fornecedores de cibersegurança e tecnologia da informação. A Sophos fornece cibersegurança como um serviço às organizações que precisam de soluções de segurança totalmente geridas e prontas para uso. Os clientes podem também gerir a segurança cibernética diretamente por meio da plataforma de operações de segurança da empresa ou utilizar uma abordagem híbrida, complementando equipes internas com os serviços da Sophos, incluindo busca por ameaças e reparação. A Sophos comercializa soluções por meio de revendedores parceiros e fornecedores de serviços geridos (MSPs) em todo o mundo. A companhia está sediada em Oxford, no Reino Unido.