Badacze Sophos (otwiera w nowej karcie) stwierdzili, że luki w zabezpieczeniach sterowników sprzętowych zatwierdzonych przez Microsoft zostały wykorzystane w atakach ransomware przez grupę znaną jako Cuba.
Na zainfekowanych komputerach znaleziono parę plików, które według Sophos „współpracują w celu zakończenia procesów lub usług używanych przez różnych dostawców produktów zabezpieczających punkty końcowe”.
Firma, twierdząc, że „wyrzuciła atakujących z systemów”, zanim sytuacja wymknęła się spod kontroli, nie może być pewna, jakiego rodzaju ataki (jeśli w ogóle w ogóle) mogły mieć miejsce, chociaż niektóre dowody wskazują na odmianę złośliwego oprogramowania znaną jako „ BURNTCIGAR”.
Ransomware ze sterownikami Microsoft
Sophos poinformował Microsoft o swoich ustaleniach, które następnie wydały poradę (otwiera się w nowej karcie) w ramach comiesięcznej publikacji Patch Tuesday.
Gigant technologiczny obiecał zakończyć dochodzenie, które wykazało, że „działanie ograniczało się do nadużyć na wielu kontach programów dla programistów i nie stwierdzono żadnych kompromisów”.
Firma Microsoft zawiesiła również konta sprzedawców partnerów, aby w międzyczasie chronić użytkowników.
Została wydana aktualizacja zabezpieczeń, która unieważnia certyfikat plików, których dotyczy problem, a blokowanie wykrywania jest teraz częścią systemu operacyjnego (w przypadku korzystania z programu Microsoft Defender 1.377.987.0 lub nowszego).
Jak zawsze, firma zachęca klientów do instalowania aktualizacji, w stosownych przypadkach, w tym systemu operacyjnego i zainstalowanego oprogramowania antywirusowego i ochrony punktów końcowych. Atakowanie oprogramowania zabezpieczającego celu jest często wstępem do bardziej wpływowych kroków, takich jak wdrażanie oprogramowania ransomware.
Mówiąc bardziej ogólnie, firma Sophos zaobserwowała tendencję, zgodnie z którą ugrupowania zagrażające „wspinają się po piramidzie zaufania, próbując używać coraz bardziej zaufanych kluczy kryptograficznych do cyfrowego podpisywania swoich sterowników”.