Un informe reciente de investigadores de seguridad ha revelado que una banda de ransomware ha estado abusando de los certificados de Microsoft para firmar su malware y evadir la detección. La pandilla, conocida como Conti, es uno de los grupos de ransomware más activos y prolíficos del mundo, responsable de cientos de ataques a organizaciones de diversos sectores.
Según el informe, Conti ha estado utilizando una técnica llamada “suplantación de certificados” para hacer que su malware parezca software legítimo de Microsoft. La suplantación de certificados es un método para manipular la firma digital de un archivo para que parezca que fue firmado por una autoridad confiable. En este caso, Conti pudo falsificar el certificado de Microsoft Windows Defender, el software antivirus integrado en Windows.
Al hacerlo, Conti pudo eludir los controles de seguridad de Windows Defender y otros productos antivirus que dependen de la validación de certificados. Esto les permitió ejecutar su carga útil de ransomware sin ser detectados ni bloqueados por el sistema. El informe también encontró que Conti estaba usando un empaquetador personalizado para ofuscar su código de malware y evitar el análisis estático.
Los investigadores advirtieron que la suplantación de certificados es una amenaza grave que puede socavar la confianza y la seguridad de los certificados digitales. Aconsejaron a las organizaciones que implementaran múltiples capas de defensa, como análisis de comportamiento, monitoreo de red y detección y respuesta de endpoints, para protegerse de los ataques de ransomware. También recomendaron que Microsoft revocara los certificados falsificados y actualizara su proceso de verificación de firmas para evitar futuros abusos.
Un nuevo informe revela cómo un grupo de ransomware conocido como “Cuba” ha estado explotando malware certificado por Microsoft para lanzar ciberataques a varias organizaciones en EE.UU. y otros países. El grupo, que se sospecha que opera desde Rusia, ha estado activo desde al menos 2020 y se ha dirigido a sectores como la salud, la educación y la manufactura. Según el informe, Cuba ha estado utilizando malware firmado con certificados válidos de Microsoft, lo que significa que el software malicioso puede eludir algunos controles de seguridad y parecer más confiable para las víctimas potenciales. El informe también proporciona detalles técnicos sobre cómo funciona el malware y cómo cifra los datos de los sistemas infectados, exigiendo un rescate por su recuperación. El informe advierte que es probable que Cuba continúe con sus actividades maliciosas y aconseja a las organizaciones que tomen medidas preventivas para proteger sus redes y datos de ataques de ransomware.
La firma de código es un proceso crucial que verifica la autenticidad y la integridad del software. Implica utilizar un certificado criptográfico emitido por una autoridad confiable para firmar digitalmente el software. De esta manera, los usuarios pueden estar seguros de que el software que descargan o instalan proviene de una fuente legítima y no ha sido manipulado.
Sin embargo, la firma de código no es inmune a los ataques. Los ciberdelincuentes pueden aprovechar las vulnerabilidades en la infraestructura de firma de código, como robar o falsificar certificados, comprometer servidores de firma o abusar de servicios legítimos, para firmar su software malicioso. Esto puede ayudarles a evadir las defensas de seguridad y engañar a los usuarios para que confíen en su malware.
Un ejemplo de esta amenaza es el reciente descubrimiento por parte de Google de que algunas aplicaciones de Android distribuidas a través de canales de terceros estaban firmadas con certificados de plataforma comprometidos. Estos certificados son administrados por los fabricantes de dispositivos Android y se utilizan para firmar componentes del sistema y aplicaciones preinstaladas. Se descubrió que algunas de las aplicaciones maliciosas contenían partes del malware Manuscrypt, que está vinculado a piratas informáticos norcoreanos que atacan plataformas de criptomonedas.
Otro ejemplo es la observación de Mandiant de que algunos grupos de ransomware utilizan un servicio delictivo común para la firma de códigos. El servicio proporciona certificados o servicios de firma robados u obtenidos de forma fraudulenta a actores de amenazas a cambio de una tarifa. Esto les permite eludir los productos de respuesta y detección de terminales de varios proveedores.
Estos incidentes resaltan la necesidad de una mayor vigilancia y protección contra los ataques de firma de código. La comunidad de seguridad debe ser consciente de esta amenaza emergente e implementar medidas de seguridad adicionales, como verificar la reputación y validez de los certificados, monitorear las actividades y anomalías de firma de código y utilizar múltiples capas de defensa. Además, es posible que veamos que más atacantes intenten copiar este tipo de ataque en el futuro.