محققان امنیتی می گویند شواهدی در دست دارند مبنی بر اینکه تهدیدات مرتبط با باج افزار کوبایی از درایورهای سخت افزاری مخرب تایید شده توسط مایکروسافت در طی یک حمله اخیر باج افزار استفاده کرده اند.
درایورها – نرم افزاری که به سیستم عامل ها و برنامه های کاربردی اجازه می دهد تا به دستگاه های سخت افزاری دسترسی داشته باشند و با آنها ارتباط برقرار کنند – به دسترسی بسیار ممتاز به سیستم عامل و داده های آن نیاز دارند، به همین دلیل است که ویندوز از درایورها می خواهد که قبل از اجازه بارگیری درایور، یک امضای رمزنگاری تایید شده همراه داشته باشند.
این درایورها مدتهاست که مورد سوء استفاده مجرمان سایبری قرار گرفتهاند و اغلب از رویکرد «درایور آسیبپذیر خود را بیاورید» استفاده میکنند، جایی که هکرها از آسیبپذیریهای موجود در درایور ویندوز موجود از یک ناشر نرمافزار قانونی سوء استفاده میکنند. محققان Sophos میگویند هکرها را مشاهده کردهاند که تلاشهای هماهنگی برای تغییر تدریجی به سمت استفاده از گواهیهای دیجیتالی قابل اعتمادتر انجام میدهند.
سوفوس در حین بررسی فعالیت مشکوک در شبکه مشتریان، شواهدی پیدا کرد که نشان میداد یک باند باجافزار مرتبط با روسیه در کوبا تلاش میکرد تا زنجیره اعتماد را بالا ببرد. Sophos در طول تحقیقات خود دریافت که قدیمیترین درایورهای مخرب این باند مربوط به ماه جولای با گواهینامههایی از شرکتهای چینی امضا شده است، پس از آن، آنها شروع به امضای درایور مخرب خود با گواهی منقضی شده و سپس باطل شدن گواهی Nvidia یافت شده در دادهها کردند. باج افزار باج افزار زمانی که سازنده تراشه را در ماه مارس هک کرد.
مهاجمان قبلاً موفق به دریافت “توکن” از برنامه رسمی توسعه سخت افزار ویندوز مایکروسافت شده اند، به این معنی که بدافزار ذاتا به هر سیستم ویندوزی اعتماد دارد.
آندریاس کلوپش و اندرو برانت، محققین Sophos در یک پست وبلاگی نوشتند: «بازیگران تهدید در حال بالا رفتن از هرم اعتماد هستند و سعی میکنند از کلیدهای رمزنگاری قابل اعتماد برای امضای دیجیتالی درایورهای خود استفاده کنند. امضاهای یک ناشر نرم افزار بزرگ و قابل اعتماد، احتمال بارگیری بدون مانع درایور در ویندوز را افزایش می دهد و این احتمال را افزایش می دهد که مهاجمان باج افزار کوبا بتوانند فرآیندهای امنیتی محافظت از رایانه های هدف خود را دور بزنند.
Sophos دریافت که باند کوبایی راننده امضا شده مخرب را با استفاده از گونهای از به اصطلاح بارکننده BurntCigar، یک بدافزار شناختهشده مرتبط با گروه باجافزار که برای اولین بار توسط Mandiant مشاهده شد، روی یک سیستم هدف قرار داده است. این دو در تلاش برای غیرفعال کردن ابزارهای امنیتی تشخیص نقطه پایانی در ماشینهای هدف بههمراه یکدیگر استفاده میشوند.
اگر آنها موفق بودند – که در این مورد موفق نبودند – مهاجمان می توانستند باج افزار را روی سیستم های در معرض خطر مستقر کنند.
Sophos به همراه محققان Mandiant و SentinelOne در ماه اکتبر به مایکروسافت اطلاع دادند که رانندگان دارای گواهینامه های قانونی به طور مخرب در فعالیت های پس از بهره برداری مورد استفاده قرار می گیرند. تحقیقات خود مایکروسافت نشان داد که چندین حساب توسعه دهنده برای مرکز شریک مایکروسافت در ارسال درایورهای مخرب برای به دست آوردن امضای مایکروسافت دخیل بودند.
مایکروسافت در مشاوره ای که به عنوان بخشی از انتشار وصله برنامه ریزی شده ماهانه خود برای امنیت موسوم به Patch Tuesday منتشر کرد، گفت: «تحلیل مداوم توسط مرکز اطلاعات تهدید مایکروسافت نشان می دهد که احتمالاً از درایورهای مخرب امضا شده برای تسهیل فعالیت های نفوذ پس از بهره برداری مانند استقرار باج افزار استفاده شده است. . مایکروسافت اعلام کرد که بهروزرسانیهای امنیتی ویندوز را منتشر کرده و گواهی را برای فایلهای آسیبدیده لغو کرده و حسابهای فروشندگان شریک را به حالت تعلیق درآورده است.
در اوایل این ماه، مشاوره دولت ایالات متحده فاش کرد که باند باج افزار کوبایی 60 میلیون دلار اضافی از حملات به 100 سازمان در سراسر جهان به دست آورده است. هیئت مشاوره هشدار می دهد که گروه باج افزار که از سال 2019 فعال بوده است، همچنان به هدف قرار دادن نهادهای ایالات متحده در زیرساخت های حیاتی، از جمله خدمات مالی، امکانات دولتی، مراقبت های بهداشتی و بهداشت عمومی، و تولید و فناوری اطلاعات حیاتی ادامه می دهد.