
Банда вымогателей использовала сертификаты Microsoft для подписи вредоносного ПО
Агентство кибербезопасности и безопасности инфраструктуры США и ФБР выпустили совместный бюллетень об угрозе атак программ-вымогателей со стороны банды, называющей себя «Куба». Группа, которая, по мнению исследователей, на самом деле базируется в России, за последний год неистовствовала, атакуя все большее число предприятий и других учреждений в США и за рубежом.
Новое исследование, опубликованное сегодня, показывает, что «Куба» использовала в своих атаках вредоносные программы, которые были сертифицированы или одобрены Microsoft. Преступники подписали свою вредоносную программу AV-killer легитимным сертификатом WHCP.
При расследовании подозрительной активности в клиентской сети служба быстрого реагирования Sophos X-Ops Rapid Response (RR) обнаружила файлы, оставленные на некоторых скомпрометированных машинах.
Поскольку команда RR удалила злоумышленников из систем, предотвратив дальнейший ущерб, невозможно точно знать, какую программу-вымогатель намеревались развернуть злоумышленники. Однако использованные методы и оставленные файлы дают интригующую подсказку о группе, стоящей за атакой.
В ходе анализа после атаки SophosLabs определила, что пара исполняемых файлов — криптографически подписанный драйвер Windows (подписанный законным сертификатом подписи) и исполняемое приложение «загрузчик», предназначенное для установки драйвера, — использовались в тандеме.
Дальнейший анализ приложения-загрузчика дал убедительные доказательства того, что это был вариант вредоносного ПО, которое Mandiant назвало BURNTCIGAR. Предыдущие исследования, проведенные другими компаниями , показывают: злоумышленники, которые использовали этот инструмент в предыдущих атаках, позже попытались развернуть программу-вымогатель «Куба».
Sophos в частном порядке сообщила о существовании всех подписанных драйверов в Microsoft, которая опубликовала исправления в рамках вчерашнего выпуска.
Новое исследование, опубликованное сегодня, показывает, что «Куба» использовала в своих атаках вредоносные программы, которые были сертифицированы или одобрены Microsoft. Преступники подписали свою вредоносную программу AV-killer легитимным сертификатом WHCP.
При расследовании подозрительной активности в клиентской сети служба быстрого реагирования Sophos X-Ops Rapid Response (RR) обнаружила файлы, оставленные на некоторых скомпрометированных машинах.
Поскольку команда RR удалила злоумышленников из систем, предотвратив дальнейший ущерб, невозможно точно знать, какую программу-вымогатель намеревались развернуть злоумышленники. Однако использованные методы и оставленные файлы дают интригующую подсказку о группе, стоящей за атакой.
В ходе анализа после атаки SophosLabs определила, что пара исполняемых файлов — криптографически подписанный драйвер Windows (подписанный законным сертификатом подписи) и исполняемое приложение «загрузчик», предназначенное для установки драйвера, — использовались в тандеме.
Дальнейший анализ приложения-загрузчика дал убедительные доказательства того, что это был вариант вредоносного ПО, которое Mandiant назвало BURNTCIGAR. Предыдущие исследования, проведенные другими компаниями , показывают: злоумышленники, которые использовали этот инструмент в предыдущих атаках, позже попытались развернуть программу-вымогатель «Куба».
Sophos в частном порядке сообщила о существовании всех подписанных драйверов в Microsoft, которая опубликовала исправления в рамках вчерашнего выпуска.
- Евгения Бусина
- sophos.com
Наши новостные каналы
Подписывайтесь и будьте в курсе свежих новостей и важнейших событиях дня.
Рекомендуем для вас

Ученые поражены: у растений есть секретный второй набор корней глубоко под землей
Это не только сенсация в ботанике, это вообще переворот в науке....

Найдено идеальное место для жизни на Марсе
По словам ученых, оно похоже… на нашу Сибирь....

Уникальная находка в Нидерландах: археологи обнаружили римский лагерь далеко за пределами Империи
Как лидар и искусственный интеллект нашли объект-«невидимку» II века....

Тайна разгадана: стало известно, почему большинство кошек предпочитают спать строго на одном боку
Оказалось, что это древний защитный механизм, которому миллионы лет....

32 удивительных подарка за последние 20 лет: ученые пытаются понять, за что косатки «балуют» людей
Природная доброта? Любопытство? Желание выйти на контакт?...

Эксперты обнаружили существ, переживших прямой удар астероида, который уничтожил динозавров
Почему конец света — это вовсе не повод, чтобы вымирать?...

Ученые хотят создать хранилище микробов, чтобы те… не вымерли
Звучит кошмарно, но на самом деле от этого зависит судьба всего человечества....