вслух.net

Банда вымогателей использовала сертификаты Microsoft для подписи вредоносного ПО

Банда вымогателей использовала сертификаты Microsoft для подписи вредоносного ПО
Агентство кибербезопасности и безопасности инфраструктуры США и ФБР выпустили совместный бюллетень об угрозе атак программ-вымогателей со стороны банды, называющей себя «Куба». Группа, которая, по мнению исследователей, на самом деле базируется в России, за последний год неистовствовала, атакуя все большее число предприятий и других учреждений в США и за рубежом.


Новое исследование, опубликованное сегодня, показывает, что «Куба» использовала в своих атаках вредоносные программы, которые были сертифицированы или одобрены Microsoft. Преступники подписали свою вредоносную программу AV-killer легитимным сертификатом WHCP.

При расследовании подозрительной активности в клиентской сети служба быстрого реагирования Sophos X-Ops Rapid Response (RR) обнаружила файлы, оставленные на некоторых скомпрометированных машинах.

Поскольку команда RR удалила злоумышленников из систем, предотвратив дальнейший ущерб, невозможно точно знать, какую программу-вымогатель намеревались развернуть злоумышленники. Однако использованные методы и оставленные файлы дают интригующую подсказку о группе, стоящей за атакой.

В ходе анализа после атаки SophosLabs определила, что пара исполняемых файлов — криптографически подписанный драйвер Windows (подписанный законным сертификатом подписи) и исполняемое приложение «загрузчик», предназначенное для установки драйвера, — использовались в тандеме.

Дальнейший анализ приложения-загрузчика дал убедительные доказательства того, что это был вариант вредоносного ПО, которое Mandiant назвало BURNTCIGAR. Предыдущие исследования, проведенные другими компаниями , показывают: злоумышленники, которые использовали этот инструмент в предыдущих атаках, позже попытались развернуть программу-вымогатель «Куба».

Sophos в частном порядке сообщила о существовании всех подписанных драйверов в Microsoft, которая опубликовала исправления в рамках вчерашнего выпуска.

Автор:

Использованы фотографии: sophos.com

Мы в Мы в Яндекс Дзен
ЧМ-2022 по футболу привлек кибермошенников со всего мираПять лучших бесплатных альтернатив Adobe PDF Reader

Технологическая война: китайско-корейские торговые связи в области полупроводников рушатся под давлением США

Технологическая война: китайско-корейские торговые связи в области полупроводников рушатся под давлением США

Samsung и SK Hynix испытывают трудности с расширением в Китае, потому что Вашингтон отрезал Китай от доступа к передовому оборудованию для производства чипов....
  • 628
5000 пикселей на дюйм: Беспрецедентное увеличение плотности позволяет сделать изображение на дисплее сверхреалистичным

5000 пикселей на дюйм: Беспрецедентное увеличение плотности позволяет сделать изображение на дисплее сверхреалистичным

Исследователи из Массачусетского технологического института в сотрудничестве с коллегами из других мировых университетов придумали способ сделать экраны с...
  • 185