Sophos divulga que impede ataque de ransomware por driver malicioso raro assinado com certificado legítimo

A Sophos, empresa global em inovação e entrega de cibersegurança como serviço, revelou hoje que encontrou um código malicioso em diversos drivers assinados por certificados digitais legítimos. O último relatório da companhia, intitulado “Signed Driver Malware Moves up the Software Trust Chain”, detalha a investigação que começou com uma tentativa de ataque de ransomware na qual os cibercriminosos usavam um driver com certificado legítimo do Windows Hardware Compatibility Publisher, da Microsoft.

O programa foi projetado para atingir especificamente os processos usados pelos principais pacotes de software de detecção e resposta de endpoints – EDR, e foi instalado por um malware vinculado a agentes de ameaças afiliados ao ransomware Cuba, um grupo altamente ativo que atingiu mais de 100 empresas globalmente no último ano. O Sophos Rapid Response foi capaz de interceptar o ataque com sucesso, e a investigação desencadeou uma colaboração abrangente entre a Sophos e a Microsoft para agir e lidar com a ameaça.

Os drivers podem executar operações bastante privilegiadas em sistemas. Por exemplo, os drivers de modo kernel podem, entre outras coisas, finalizar diversos tipos de software, incluindo os de segurança. Controlar quais deles podem ser carregados é uma forma de proteger os computadores desse tipo de ataque. O Windows exige que os drivers tenham uma assinatura criptográfica, um “selo de aprovação”, antes de permitir o carregamento.

No entanto, nem todos os certificados digitais usados para assiná-los são confiáveis. Alguns deles – de assinatura digital, roubados e vazados na internet – foram posteriormente usados para assinar um malware e outros foram comprados e usados por editores de software PUA, sem hesitação. A investigação da Sophos sobre um driver malicioso usado para sabotar as ferramentas de segurança de endpoint, durante a realização de um ataque de ransomware, revelou que os cibercriminosos estavam fazendo um esforço em conjunto para mudar progressivamente de certificados digitais menos confiáveis para outros que sejam legítimos.

“Esses invasores, provavelmente afiliados do grupo de ransomware Cuba, sabem o que estão fazendo – e são persistentes. Encontramos um total de dez drivers maliciosos, todos variantes da descoberta inicial. Esses drivers mostram um esforço concentrado para subir na cadeia de confiança,  já que o mais antigo deles data, ao menos, de julho. Os mais velhos que encontramos até agora foram assinados por certificados de empresas chinesas desconhecidas, e eles seguiram em frente, conseguindo assinar o driver com um certificado NVIDIA válido, vazado e revogado. Agora, eles estão usando um certificado da Microsoft, que é uma das autoridades mais confiáveis do ecossistema Windows. Se você pensar sobre isso como segurança de uma empresa, os invasores basicamente receberam IDs válidos da companhia para entrar no prédio sem questionamentos e fazer o que quiserem”, explica Christopher Budd, gerente sênior de pesquisa de ameaças da Sophos.

Uma análise mais detalhada dos executáveis utilizados na tentativa de ataque de ransomware descobriu que o driver assinado foi baixado no sistema de destino com uma variante do carregador Burntcigar, um malware conhecido afiliado ao grupo de ransomware Cuba. Uma vez que o carregador baixa o driver no sistema, o último espera por um dos 186 nomes de arquivo de programa diferentes comumente usados pelos principais pacotes de software de segurança de endpoint e EDR para iniciar e, em seguida, tenta encerrar esses processos. Se forem bem sucedidos, os invasores podem implementar o ransomware.

“Em 2022, vimos cada vez mais os grupos de ransomware tentarem contornar os produtos EDR de muitos – senão da maioria – dos principais fornecedores. A técnica mais comum é conhecida como ‘traga seu próprio driver’, usada recentemente pelo BlackByte, e envolve invasores que exploram uma vulnerabilidade existente em um driver legítimo. Criar um driver malicioso do zero e assiná-lo por uma autoridade autêntica é muito mais difícil, no entanto, caso tenham sucesso, é incrivelmente eficaz, porque ele pode executar qualquer processo sem questionamentos. No caso desse driver específico, praticamente todos os softwares de EDR são vulneráveis, mas, felizmente, as proteções anti-adulteração adicionais da Sophos foram capazes de interromper o ataque de ransomware. A comunidade de segurança precisa estar ciente dessa ameaça para que possa implementar medidas de segurança adicionais. Além do mais, podemos ver outros invasores tentando emular esse tipo de ataque”, diz Budd.

Ao descobrir esse driver, a Sophos imediatamente alertou a Microsoft e as duas empresas trabalharam juntas para resolver o problema. A Microsoft divulgou informações em seu comunicado de segurança com mais dados, como parte do Patch Tuesday.