Pandilla de ransomware empleaba controladores aprobados por Microsoft para hackear
Según investigaciones de expertos en ciberseguridad, manifiestan que poseen evidencia de que existen unos hackers maliciosos asociados a una banda de ransomware, quienes emplearon controladores de hardware pirateados y que estaban certificados por Microsoft. Todo ello viene a la luz después de un intento de ataque de ransomware que se lanzó recientemente.
Los controladores son programas que permiten que los sistemas operativos y las aplicaciones tengan acceso a los dispositivos de hardware, permitiendo la comunicación entre sí. Esto requiere de un acceso cuyos privilegios son elevados con respecto al sistema operativo y los datos que maneja. Por ello, Microsoft requiere que los drivers o controladores compatibles con Windows tengan una firma criptográfica aprobada, antes de permitir que dicho controlador se cargue en el sistema operativo.
Desde hace mucho tiempo, los cibercriminales han abusado de estos controladores, explotando las vulnerabilidades encontradas en drivers de Windows existentes y que cuentan con soportes y firmas de seguridad legítimas. Los especialistas manifiestan que han observado que los hackers hacen un esfuerzo mancomunado para poder hacer y emplear certificados de seguridad digitales más confiables.
Las vulnerabilidades a tus sistemas de información no se van a detener. Lo bueno, es que puedes contar con TIC Defense, en donde podemos ofrecer respuestas preventivas y reactivas ante cualquier evento que sea perpetrado por cibercriminales. Nuestros especialistas desarrollan programas y soluciones robustas y de alta tecnología, enfocadas en la prevención de amenazas.
Los especialistas investigaban actividades sospechosas en una red y descubrieron que una pandilla de ransomware vinculada a Rusia, estaban haciendo esfuerzos por avanzar en las cadenas de confianza de los certificados de seguridad de controladores. En esta investigación, descubrieron que la banda tenían algunos controladores antiguos, todos ellos firmados digitalmente en China. Poco después, comenzaron a firmar sus controladores maliciosos con certificados de Nvidia filtrados y revocados.
Desde allí, se ha encontrado en los datos arrojados por la banda de ransomware llamada Lapsus$, cuando hackearon a la propia Nvidia el año pasado. Los ciberdelincuentes lograron obtener una señalización del Programa de Desarrollo de Hardware de Windows, el cual es oficial de Microsoft. Esto significa que cualquier sistema operativo Windows confía en el certificado digital de un controlador infectado con malware.
Los hackers maliciosos siguen intentando emplear cada vez más claves criptográficas para poder firmar digitalmente sus controladores infectos con malware. Según los investigadores, la firma de un editor de un software grande y confiable, hace que aumente la probabilidad de que los atacantes de la pandilla de ransomware puedan dar por terminados los procesos de seguridad que protegen a los ordenadores de sus objetivos.
Los investigadores de varias firmas de seguridad informaron al gigante tecnológico que los controladores con certificados digitales legítimos se estaban empleando, de manera malintencionada, en actividades que iban después de una explotación de vulnerabilidades. La investigación en cuestión ha revelado que varias cuentas de desarrolladores del Centro de Socios de Microsoft estaban involucradas en el envío de controladores infectados por malware y así obtener una firma de Microsoft.
Por último, el análisis que ha realizado el Centro de Inteligencia de Amenazas de Microsoft ha indicado que los controladores infectados o maliciosos se utilizaron para poder facilitar la intrusión indebida que sucede después de una explotación de vulnerabilidades, por ejemplo, la implementación de ransomware.
