Un gang de ransomware utilise des certificats Microsoft pour signer des logiciels malveillants
Un rapport récent de chercheurs en sécurité a révélé qu’une bande de ransomware abuse des certificats Microsoft pour signer ses logiciels malveillants et échapper à la détection. Ce gang, connu sous le nom de Conti, est l’un des groupes de ransomwares les plus actifs et les plus prolifiques au monde, responsable de centaines d’attaques contre des organisations dans divers secteurs d’activité.
Selon le rapport, Conti a utilisé une technique appelée «certificate spoofing» pour faire passer ses logiciels malveillants pour des logiciels Microsoft légitimes. L’usurpation de certificat est une méthode qui consiste à manipuler la signature numérique d’un fichier pour faire croire qu’il a été signé par une autorité de confiance. Dans ce cas, Conti a réussi à usurper le certificat de Microsoft Windows Defender, le logiciel antivirus intégré à Windows.
Ce faisant, Conti a pu contourner les contrôles de sécurité de Windows Defender et d’autres produits antivirus qui s’appuient sur la validation des certificats. Cela lui a permis d’exécuter la charge utile de son ransomware sans être détecté ou bloqué par le système. Le rapport a également révélé que Conti utilisait un packer personnalisé pour obscurcir le code de ses logiciels malveillants et éviter l’analyse statique.
Les chercheurs ont averti que l’usurpation de certificat est une menace sérieuse qui peut miner la confiance et la sécurité des certificats numériques. Ils conseillent aux organisations de mettre en œuvre plusieurs niveaux de défense, tels que l’analyse comportementale, la surveillance du réseau et la détection et la réponse aux points d’extrémité, afin de se protéger contre les attaques de ransomware. Ils ont également recommandé à Microsoft de révoquer les certificats falsifiés et de mettre à jour son processus de vérification des signatures afin d’éviter de nouveaux abus.
Un nouveau rapport révèle comment un groupe de ransomware connu sous le nom de «Cuba» a exploité des logiciels malveillants certifiés par Microsoft pour lancer des cyberattaques contre diverses organisations aux États-Unis et dans d’autres pays. et d’autres pays. Le groupe, qui est soupçonné d’opérer à partir de la Russie, est actif depuis au moins 2020 et a ciblé des secteurs tels que la santé, l’éducation et l’industrie manufacturière. Selon le rapport, Cuba a utilisé des logiciels malveillants signés avec des certificats Microsoft valides, ce qui signifie que les logiciels malveillants peuvent contourner certains contrôles de sécurité et paraître plus dignes de confiance pour les victimes potentielles. Le rapport fournit également des détails techniques sur le fonctionnement du logiciel malveillant et sur la manière dont il crypte les données sur les systèmes infectés, en exigeant une rançon pour les récupérer. Le rapport prévient que Cuba est susceptible de poursuivre ses activités malveillantes et conseille aux organisations de prendre des mesures préventives pour protéger leurs réseaux et leurs données contre les attaques de ransomware.
La signature de code est un processus crucial qui permet de vérifier l’authenticité et l’intégrité d’un logiciel. Elle implique l’utilisation d’un certificat cryptographique délivré par une autorité de confiance pour signer numériquement le logiciel. De cette manière, les utilisateurs peuvent être sûrs que le logiciel qu’ils téléchargent ou installent provient d’une source légitime et n’a pas été altéré.
Cependant, la signature de code n’est pas à l’abri des attaques. Les cybercriminels peuvent exploiter les vulnérabilités de l’infrastructure de signature de code, comme le vol ou la falsification de certificats, la compromission de serveurs de signature ou l’utilisation abusive de services légitimes, pour signer leurs logiciels malveillants. Cela peut les aider à échapper aux défenses de sécurité et à inciter les utilisateurs à faire confiance à leurs logiciels malveillants.
Un exemple de cette menace est la découverte récente par Google que certaines applications Android distribuées par des canaux tiers étaient signées avec des certificats de plate-forme compromis. Ces certificats sont gérés par les fabricants d’appareils Android et sont utilisés pour signer les composants du système et les applications préinstallées. Certaines de ces applications malveillantes contenaient des éléments du logiciel malveillant Manuscrypt, qui est lié à des pirates nord-coréens ciblant les plateformes de crypto-monnaie.
Un autre exemple est l’observation de Mandiant selon laquelle certains groupes de ransomware utilisent un service criminel commun pour la signature de code. Ce service fournit des certificats ou des services de signature volés ou obtenus frauduleusement aux acteurs de la menace, moyennant paiement. Cela leur permet de contourner les produits de détection et de réponse des points finaux de divers fournisseurs.
Ces incidents soulignent la nécessité d’une vigilance et d’une protection accrues contre les attaques par signature de code. La communauté de la sécurité doit être consciente de cette menace émergente et mettre en œuvre des mesures de sécurité supplémentaires, telles que la vérification de la réputation et de la validité des certificats, la surveillance des activités de signature de code et des anomalies, et l’utilisation de plusieurs couches de défense. En outre, il est possible que d’autres attaquants tentent de copier ce type d’attaque à l’avenir.
