Банда вымогателей использовала сертификаты Microsoft для подписи вредоносного ПО

Агентство кибербезопасности и безопасности инфраструктуры США и ФБР выпустили совместный бюллетень об угрозе атак программ-вымогателей со стороны банды, называющей себя «Куба». Группа, которая, по мнению исследователей, на самом деле базируется в России, за последний год неистовствовала, атакуя все большее число предприятий и других учреждений в США и за рубежом.


Новое исследование, опубликованное сегодня, показывает, что «Куба» использовала в своих атаках вредоносные программы, которые были сертифицированы или одобрены Microsoft. Преступники подписали свою вредоносную программу AV-killer легитимным сертификатом WHCP.

При расследовании подозрительной активности в клиентской сети служба быстрого реагирования Sophos X-Ops Rapid Response (RR) обнаружила файлы, оставленные на некоторых скомпрометированных машинах.

Поскольку команда RR удалила злоумышленников из систем, предотвратив дальнейший ущерб, невозможно точно знать, какую программу-вымогатель намеревались развернуть злоумышленники. Однако использованные методы и оставленные файлы дают интригующую подсказку о группе, стоящей за атакой.

В ходе анализа после атаки SophosLabs определила, что пара исполняемых файлов — криптографически подписанный драйвер Windows (подписанный законным сертификатом подписи) и исполняемое приложение «загрузчик», предназначенное для установки драйвера, — использовались в тандеме.

Дальнейший анализ приложения-загрузчика дал убедительные доказательства того, что это был вариант вредоносного ПО, которое Mandiant назвало BURNTCIGAR. Предыдущие исследования, проведенные другими компаниями , показывают: злоумышленники, которые использовали этот инструмент в предыдущих атаках, позже попытались развернуть программу-вымогатель «Куба».

Sophos в частном порядке сообщила о существовании всех подписанных драйверов в Microsoft, которая опубликовала исправления в рамках вчерашнего выпуска.