Oprogramowanie ransomware BlackMatter przestaje działać z powodu nacisków policji

Badacze Sophos (otwiera w nowej karcie) stwierdzili, że luki w zabezpieczeniach sterowników sprzętowych zatwierdzonych przez Microsoft zostały wykorzystane w atakach ransomware przez grupę znaną jako Cuba.

Na zaatakowanych maszynach znaleziono parę plików, które według Sophos „współpracują w celu zabicia procesów lub usług używanych przez różnych dostawców produktów zabezpieczających punkty końcowe”.

Twierdząc, że „wyciągnęła atakujących z systemów”, zanim sprawy wymknęły się spod kontroli, firma nie może być pewna, jaki rodzaj ataków (jeśli w ogóle) mógł mieć miejsce, chociaż niektóre dowody wskazują na odmianę złośliwego oprogramowania znaną jako „ PALONY CYGAR”.

Ransomware ze sterownikami Microsoft

Sophos poinformował Microsoft o swoich ustaleniach, które następnie wydały poradę (otwiera się w nowej karcie) w ramach comiesięcznej publikacji Patch Tuesday.

Gigant technologiczny obiecał zakończyć dochodzenie, które wykazało, że „aktywność ograniczała się do nadużyć wielu kont programów dla programistów i nie zidentyfikowano żadnych kompromisów”.

Firma Microsoft zawiesiła również konta sprzedawców partnerów, aby w międzyczasie chronić użytkowników.

Została wydana aktualizacja zabezpieczeń, która unieważnia certyfikat plików, których dotyczy problem, a blokowanie wykrywania jest teraz częścią systemu operacyjnego (w przypadku korzystania z programu Microsoft Defender 1.377.987.0 lub nowszego).

Jak zawsze, firma zachęca klientów do instalowania aktualizacji, w stosownych przypadkach, w tym systemu operacyjnego i zainstalowanego oprogramowania antywirusowego i ochrony punktów końcowych. Atakowanie oprogramowania zabezpieczającego celu jest często wstępem do bardziej wpływowych kroków, takich jak wdrażanie oprogramowania ransomware.

Mówiąc bardziej ogólnie, Sophos zauważył trend polegający na tym, że cyberprzestępcy „wspinają się po piramidzie zaufania, próbując używać coraz bardziej niezawodnych kluczy kryptograficznych do cyfrowego podpisywania swoich kontrolerów”.

Udostępnij to