Una vez instalado en el sistema a atacar, el driver malicioso tiene el nivel más alto de privilegios posible para llevar a cabo sus actividades y, debido a que está firmado con un certificado legítimo de Microsoft, esto significa que tiene una alta probabilidad de éxito.
Sophos, líder mundial en innovación y prestación de ciberseguridad como servicio, ha revelado hoy que ha encontrado un código malicioso en varios controladores firmados por certificados digitales legítimos.
Su último informe, “El Malware de controladores firmado sube en la cadena de confianza del software”, detalla la investigación que comenzó con un intento de ataque de ransomware, en el que los atacantes utilizaron un controlador malicioso firmado con un certificado digital legítimo de Microsoft Windows Hardware Compatibility Publisher. El controlador malicioso está diseñado para dirigir específicamente los procesos utilizados por los principales paquetes de software de detección y respuesta de endpoints (EDR) y fue instalado por un malware vinculado a actores de amenazas afiliados a Cuba Ransomware, un grupo muy prolífico que ha dirigido ataques con éxito a más de 100 empresas en todo el mundo durante el último año. Sophos Rapid Response pudo frustrar el ataque con éxito y la investigación desencadenó una colaboración completa entre Sophos y Microsoft para tomar medidas y abordar la amenaza.
Los controladores pueden realizar operaciones con privilegios elevados en sistemas. Por ejemplo, los controladores en modo kernel pueden, entre otras cosas, terminar muchos tipos de software, incluyendo la seguridad. Controlar qué controladores se pueden cargar es una forma de proteger los equipos de esta manera de ataque. Windows requiere que los controladores lleven una firma criptográfica o ‘sello de aprobación’, antes de permitir que el controlador se cargue.
Sin embargo, no todos los certificados digitales utilizados para firmar controladores son de confianza. Algunos certificados de firma digital, robados y filtrados en Internet, fueron más tarde objeto de abuso para firmar un malware; otros certificados han sido comprados y utilizados por editores de software PUA sin escrúpulos.
La investigación de Sophos sobre un controlador malicioso utilizado para sabotear las herramientas de seguridad de los endpoints durante la comisión de un ataque de ransomware, reveló que los adversarios habían estado haciendo un esfuerzo importante para pasar progresivamente de certificados digitales de confianza menos generalizada a certificados digitales de mayor confianza.
“Estos atacantes, probablemente afiliados del grupo Cuba Ransomware, saben lo que están haciendo y son persistentes. Hemos encontrado un total de 10 controladores maliciosos, todas variantes del descubrimiento inicial. Estos conductores muestran un esfuerzo concertado por ascender en la cadena de confianza, con el conductor más antiguo que se remonta al menos a julio. Ahora, utilizan un certificado de Microsoft, que es una de las autoridades de mayor confianza en el ecosistema de Windows. Si lo pensamos como si fuera una empresa de seguridad, los atacantes han recibido identificaciones válidas para entrar en el edificio sin duda y hacer lo que les apetezca”, afirmó Christopher Budd, director ejecutivo de Investigación de Amenazas de Sophos.
“En 2022, hemos visto que los atacantes del ransomware intentan sabotear cada vez más los productos EDR, de la mayoría, sino es que de todos los principales proveedores. La técnica de ataque más común se conoce como «traer su propio controlador», que BlackByte ha utilizado recientemente e implica que los atacantes exploten una vulnerabilidad existente en un controlador legítimo. Crear un controlador malicioso desde cero y conseguir que lo firme una autoridad legítima es mucho más difícil. Sin embargo, si tienen éxito, es increíblemente eficaz porque el controlador puede llevar a cabo prácticamente cualquier proceso sin una sola duda. La comunidad de seguridad debe ser consciente de esta amenaza para que pueda implementar medidas de seguridad adicionales, como la mirada en el cristal, cuando sea necesaria; y algo más que mencionar es, que es posible que veamos que otros atacantes intentan replicar este tipo de ataque”, dijo Budd.