
Банда вымогателей использовала сертификаты Microsoft для подписи вредоносного ПО
Агентство кибербезопасности и безопасности инфраструктуры США и ФБР выпустили совместный бюллетень об угрозе атак программ-вымогателей со стороны банды, называющей себя «Куба». Группа, которая, по мнению исследователей, на самом деле базируется в России, за последний год неистовствовала, атакуя все большее число предприятий и других учреждений в США и за рубежом.
Новое исследование, опубликованное сегодня, показывает, что «Куба» использовала в своих атаках вредоносные программы, которые были сертифицированы или одобрены Microsoft. Преступники подписали свою вредоносную программу AV-killer легитимным сертификатом WHCP.
При расследовании подозрительной активности в клиентской сети служба быстрого реагирования Sophos X-Ops Rapid Response (RR) обнаружила файлы, оставленные на некоторых скомпрометированных машинах.
Поскольку команда RR удалила злоумышленников из систем, предотвратив дальнейший ущерб, невозможно точно знать, какую программу-вымогатель намеревались развернуть злоумышленники. Однако использованные методы и оставленные файлы дают интригующую подсказку о группе, стоящей за атакой.
В ходе анализа после атаки SophosLabs определила, что пара исполняемых файлов — криптографически подписанный драйвер Windows (подписанный законным сертификатом подписи) и исполняемое приложение «загрузчик», предназначенное для установки драйвера, — использовались в тандеме.
Дальнейший анализ приложения-загрузчика дал убедительные доказательства того, что это был вариант вредоносного ПО, которое Mandiant назвало BURNTCIGAR. Предыдущие исследования, проведенные другими компаниями , показывают: злоумышленники, которые использовали этот инструмент в предыдущих атаках, позже попытались развернуть программу-вымогатель «Куба».
Sophos в частном порядке сообщила о существовании всех подписанных драйверов в Microsoft, которая опубликовала исправления в рамках вчерашнего выпуска.
Новое исследование, опубликованное сегодня, показывает, что «Куба» использовала в своих атаках вредоносные программы, которые были сертифицированы или одобрены Microsoft. Преступники подписали свою вредоносную программу AV-killer легитимным сертификатом WHCP.
При расследовании подозрительной активности в клиентской сети служба быстрого реагирования Sophos X-Ops Rapid Response (RR) обнаружила файлы, оставленные на некоторых скомпрометированных машинах.
Поскольку команда RR удалила злоумышленников из систем, предотвратив дальнейший ущерб, невозможно точно знать, какую программу-вымогатель намеревались развернуть злоумышленники. Однако использованные методы и оставленные файлы дают интригующую подсказку о группе, стоящей за атакой.
В ходе анализа после атаки SophosLabs определила, что пара исполняемых файлов — криптографически подписанный драйвер Windows (подписанный законным сертификатом подписи) и исполняемое приложение «загрузчик», предназначенное для установки драйвера, — использовались в тандеме.
Дальнейший анализ приложения-загрузчика дал убедительные доказательства того, что это был вариант вредоносного ПО, которое Mandiant назвало BURNTCIGAR. Предыдущие исследования, проведенные другими компаниями , показывают: злоумышленники, которые использовали этот инструмент в предыдущих атаках, позже попытались развернуть программу-вымогатель «Куба».
Sophos в частном порядке сообщила о существовании всех подписанных драйверов в Microsoft, которая опубликовала исправления в рамках вчерашнего выпуска.
- Евгения Бусина
- sophos.com
Наши новостные каналы
Подписывайтесь и будьте в курсе свежих новостей и важнейших событиях дня.
Рекомендуем для вас

32 удивительных подарка за последние 20 лет: ученые пытаются понять, за что косатки «балуют» людей
Природная доброта? Любопытство? Желание выйти на контакт?...

Найдено идеальное место для жизни на Марсе
По словам ученых, оно похоже… на нашу Сибирь....

Уникальная находка в Нидерландах: археологи обнаружили римский лагерь далеко за пределами Империи
Как лидар и искусственный интеллект нашли объект-«невидимку» II века....

Тайна разгадана: стало известно, почему большинство кошек предпочитают спать строго на одном боку
Оказалось, что это древний защитный механизм, которому миллионы лет....

Эксперты обнаружили существ, переживших прямой удар астероида, который уничтожил динозавров
Почему конец света — это вовсе не повод, чтобы вымирать?...

«Вертолетная» конструкция да Винчи может сделать беспилотники тише, быстрее и даже дешевле
Ученые поражены, насколько разработка Леонардо опередила время....

Ученые хотят создать хранилище микробов, чтобы те… не вымерли
Звучит кошмарно, но на самом деле от этого зависит судьба всего человечества....