Gangue de ransomware abusou de certificados da Microsoft para assinar malware

Um relatório recente de pesquisadores de segurança revelou que uma quadrilha de ransomware tem abusado dos certificados da Microsoft para assinar seu malware e evitar a detecção. A quadrilha, conhecida como Conti, é um dos grupos de ransomware mais ativos e prolíficos do mundo, responsável por centenas de ataques a organizações de diversos setores.

De acordo com o relatório, a Conti tem usado uma técnica chamada «falsificação de certificado» para fazer com que seu malware pareça um software legítimo da Microsoft. A falsificação de certificado é um método de manipulação da assinatura digital de um arquivo para fazer com que ele pareça ter sido assinado por uma autoridade confiável. Nesse caso, a Conti conseguiu falsificar o certificado do Microsoft Windows Defender, o software antivírus incorporado ao Windows.

Ao fazer isso, a Conti conseguiu contornar os controles de segurança do Windows Defender e de outros produtos antivírus que dependem da validação de certificados. Isso permitiu que eles executassem a carga útil do ransomware sem serem detectados ou bloqueados pelo sistema. O relatório também descobriu que a Conti estava usando um empacotador personalizado para ofuscar o código do malware e evitar a análise estática.

Os pesquisadores alertaram que a falsificação de certificados é uma ameaça séria que pode minar a confiança e a segurança dos certificados digitais. Eles aconselharam as organizações a implementar várias camadas de defesa, como análise comportamental, monitoramento de rede e detecção e resposta de endpoints, para se protegerem contra ataques de ransomware. Eles também recomendaram que a Microsoft revogue os certificados falsificados e atualize seu processo de verificação de assinaturas para evitar futuros abusos.

Um novo relatório revela como um grupo de ransomware conhecido como «Cuba» vem explorando malware certificado pela Microsoft para lançar ataques cibernéticos contra várias organizações nos EUA e em outros países. Você pode ter acesso a um ransomware nos EUA e em outros países. O grupo, suspeito de operar a partir da Rússia, está ativo desde pelo menos 2020 e tem como alvo setores como saúde, educação e manufatura. De acordo com o relatório, Cuba tem usado malware assinado com certificados válidos da Microsoft, o que significa que o malware pode contornar alguns controles de segurança e parecer mais confiável para as vítimas em potencial. O relatório também fornece detalhes técnicos sobre como o malware funciona e como ele criptografa dados em sistemas infectados, exigindo um resgate para sua recuperação. O relatório adverte que é provável que o Cuba continue suas atividades maliciosas e aconselha as organizações a tomarem medidas preventivas para proteger suas redes e dados contra ataques de ransomware.

A assinatura de código é um processo crucial que verifica a autenticidade e a integridade do software. Ele envolve o uso de um certificado criptográfico emitido por uma autoridade confiável para assinar digitalmente o software. Dessa forma, os usuários podem ter certeza de que o software que baixam ou instalam vem de uma fonte legítima e não foi adulterado.

No entanto, a assinatura de código não é imune a ataques. Os criminosos cibernéticos podem explorar vulnerabilidades na infraestrutura de assinatura de código, como roubo ou falsificação de certificados, comprometimento de servidores de assinatura ou abuso de serviços legítimos, para assinar seu malware. Isso pode ajudá-los a burlar as defesas de segurança e induzir os usuários a confiar em seus malwares.

Um exemplo dessa ameaça é a recente descoberta do Google de que alguns aplicativos Android distribuídos por canais de terceiros foram assinados com certificados de plataforma comprometidos. Esses certificados são gerenciados pelos fabricantes de dispositivos Android e são usados para assinar componentes do sistema e aplicativos pré-instalados. Descobriu-se que alguns dos aplicativos mal-intencionados continham partes do malware Manuscrypt, que está ligado a hackers norte-coreanos que visam plataformas de criptomoeda.

Outro exemplo é a observação da Mandiant de que alguns grupos de ransomware usam um serviço criminoso comum para assinatura de código. O serviço fornece certificados roubados ou obtidos de forma fraudulenta ou serviços de assinatura a agentes de ameaças mediante o pagamento de uma taxa. Isso permite que eles contornem os produtos de detecção e resposta de endpoints de vários fornecedores.

Esses incidentes destacam a necessidade de maior vigilância e proteção contra ataques de assinatura de código. A comunidade de segurança deve estar ciente dessa ameaça emergente e implementar medidas de segurança adicionais, como verificar a reputação e a validade dos certificados, monitorar as atividades e anomalias de assinatura de código e usar várias camadas de defesa. Além disso, é possível que mais invasores tentem copiar esse tipo de ataque no futuro.