Банда вымогателей использовала сертификаты Microsoft для подписи вредоносного ПО
Агентство кибербезопасности и безопасности инфраструктуры США и ФБР выпустили совместный бюллетень об угрозе атак программ-вымогателей со стороны банды, называющей себя «Куба». Группа, которая, по мнению исследователей, на самом деле базируется в России, за последний год неистовствовала, атакуя все большее число предприятий и других учреждений в США и за рубежом.
Новое исследование, опубликованное сегодня, показывает, что «Куба» использовала в своих атаках вредоносные программы, которые были сертифицированы или одобрены Microsoft. Преступники подписали свою вредоносную программу AV-killer легитимным сертификатом WHCP.
При расследовании подозрительной активности в клиентской сети служба быстрого реагирования Sophos X-Ops Rapid Response (RR) обнаружила файлы, оставленные на некоторых скомпрометированных машинах.
Поскольку команда RR удалила злоумышленников из систем, предотвратив дальнейший ущерб, невозможно точно знать, какую программу-вымогатель намеревались развернуть злоумышленники. Однако использованные методы и оставленные файлы дают интригующую подсказку о группе, стоящей за атакой.
В ходе анализа после атаки SophosLabs определила, что пара исполняемых файлов — криптографически подписанный драйвер Windows (подписанный законным сертификатом подписи) и исполняемое приложение «загрузчик», предназначенное для установки драйвера, — использовались в тандеме.
Дальнейший анализ приложения-загрузчика дал убедительные доказательства того, что это был вариант вредоносного ПО, которое Mandiant назвало BURNTCIGAR. Предыдущие исследования, проведенные другими компаниями , показывают: злоумышленники, которые использовали этот инструмент в предыдущих атаках, позже попытались развернуть программу-вымогатель «Куба».
Sophos в частном порядке сообщила о существовании всех подписанных драйверов в Microsoft, которая опубликовала исправления в рамках вчерашнего выпуска.
Новое исследование, опубликованное сегодня, показывает, что «Куба» использовала в своих атаках вредоносные программы, которые были сертифицированы или одобрены Microsoft. Преступники подписали свою вредоносную программу AV-killer легитимным сертификатом WHCP.
При расследовании подозрительной активности в клиентской сети служба быстрого реагирования Sophos X-Ops Rapid Response (RR) обнаружила файлы, оставленные на некоторых скомпрометированных машинах.
Поскольку команда RR удалила злоумышленников из систем, предотвратив дальнейший ущерб, невозможно точно знать, какую программу-вымогатель намеревались развернуть злоумышленники. Однако использованные методы и оставленные файлы дают интригующую подсказку о группе, стоящей за атакой.
В ходе анализа после атаки SophosLabs определила, что пара исполняемых файлов — криптографически подписанный драйвер Windows (подписанный законным сертификатом подписи) и исполняемое приложение «загрузчик», предназначенное для установки драйвера, — использовались в тандеме.
Дальнейший анализ приложения-загрузчика дал убедительные доказательства того, что это был вариант вредоносного ПО, которое Mandiant назвало BURNTCIGAR. Предыдущие исследования, проведенные другими компаниями , показывают: злоумышленники, которые использовали этот инструмент в предыдущих атаках, позже попытались развернуть программу-вымогатель «Куба».
Sophos в частном порядке сообщила о существовании всех подписанных драйверов в Microsoft, которая опубликовала исправления в рамках вчерашнего выпуска.
- Евгения Бусина
- sophos.com
Наши новостные каналы
Подписывайтесь и будьте в курсе свежих новостей и важнейших событиях дня.
Рекомендуем для вас
«Титаник» разваливается прямо на глазах
Кто же ускоряет гибель легендарного корабля: люди или природа?...
Starliner Boeing снова в новостях: теперь там что-то жутко стучит и лязгает
NASA придумывает объяснения, а бывший командир МКС говорит, что это не к добру....
Ужас разгадки парадокса Ферми: А где все?!
Почему мы до сих пор не слышим голоса инопланетян?...
Космический корабль BepiColombo невероятно близко подлетел к Меркурию
Свежие снимки рябой планеты удалось сделать благодаря возникшим в полёте неполадкам....
Оказывается, ковыряние в носу очень опасно для здоровья
Ученые сами были в шоке, когда поняли это....
Прорыв или кошмар? Искусственный интеллект стал изменять собственный код
Ученые говорят: ничего страшного. Но так ли это на самом деле?...
Космос вскоре сильно подешевеет
Разительные перемены должны произойти в ближайшие несколько лет....
Азиаты оккупируют Британию: сначала мигранты, теперь желтоногие шершни
Экологи бьют тревогу и массово рассылают методички населению....
Пандемия может повториться: эксперты бьют тревогу
По словам ученых, на зверофермах Китая творятся ужасные вещи....
Новый метод поможет раскрыть секс-преступления во много раз быстрее
Открытие ускорит проверку улик....
Электронный ад на почте
Как бухгалтерская программа разрушила тысячи жизней....
Лишь сегодня стало известно как именно ковка улучшает металл
Учёные пролили свет на универсальные механизмы деформационного упрочнения....
Роботы и 3D-печать сделали бетон прочнее благодаря особой структуре
Имитируя природу, бетон можно уложить так, чтобы повысить прочность на 63%....
Пилотом США может оказаться любой дурак или террорист. Электроника не против
Используя баги, управлять самолетом может кто угодно....
Крупные динозавры предпочитали Южный полюс
Как они выживали в морозы?...
Все мы точно это ели: обычный пищевой краситель делает кожу прозрачной для лазера
Намазанные красителем мыши явили учёным свои внутренние органы....