Una banda di ransomware ha abusato dei certificati Microsoft per firmare il malware

Un recente rapporto di ricercatori di sicurezza ha rivelato che una banda di ransomware ha abusato dei certificati Microsoft per firmare il proprio malware ed eludere il rilevamento. La banda, nota come Conti, è uno dei gruppi di ransomware più attivi e prolifici al mondo, responsabile di centinaia di attacchi a organizzazioni di diversi settori.

Secondo il rapporto, Conti ha utilizzato una tecnica chiamata «certificate spoofing» per far sembrare il suo malware un software Microsoft legittimo. Il certificate spoofing è un metodo per manipolare la firma digitale di un file per farlo sembrare firmato da un’autorità affidabile. In questo caso, Conti è riuscito a falsificare il certificato di Microsoft Windows Defender, il software antivirus integrato in Windows.

In questo modo, Conti è riuscito a eludere i controlli di sicurezza di Windows Defender e di altri prodotti antivirus che si basano sulla convalida dei certificati. Questo gli ha permesso di eseguire il payload del ransomware senza essere rilevato o bloccato dal sistema. Il rapporto ha inoltre rilevato che Conti utilizzava un packer personalizzato per offuscare il codice del malware ed evitare l’analisi statica.

I ricercatori hanno avvertito che lo spoofing dei certificati è una minaccia seria che può minare la fiducia e la sicurezza dei certificati digitali. Hanno consigliato alle organizzazioni di implementare più livelli di difesa, come l’analisi comportamentale, il monitoraggio della rete e il rilevamento e la risposta degli endpoint, per proteggersi dagli attacchi ransomware. Hanno inoltre raccomandato a Microsoft di revocare i certificati contraffatti e di aggiornare il processo di verifica delle firme per prevenire futuri abusi.

Un nuovo rapporto rivela come un gruppo di ransomware noto come «Cuba» abbia sfruttato un malware certificato da Microsoft per lanciare attacchi informatici contro varie organizzazioni negli Stati Uniti e in altri paesi. e altri paesi. Il gruppo, che si sospetta operi dalla Russia, è attivo almeno dal 2020 e ha preso di mira settori come la sanità, l’istruzione e la produzione. Secondo il rapporto, Cuba ha utilizzato malware firmato con certificati Microsoft validi, il che significa che il malware può aggirare alcuni controlli di sicurezza e apparire più affidabile alle potenziali vittime. Il rapporto fornisce anche dettagli tecnici sul funzionamento del malware e sul modo in cui cripta i dati sui sistemi infetti, chiedendo un riscatto per il loro recupero. Il rapporto avverte che Cuba probabilmente continuerà le sue attività maligne e consiglia alle organizzazioni di adottare misure preventive per proteggere le loro reti e i loro dati dagli attacchi ransomware.

La firma del codice è un processo cruciale che verifica l’autenticità e l’integrità del software. Si tratta di utilizzare un certificato crittografico rilasciato da un’autorità affidabile per firmare digitalmente il software. In questo modo, gli utenti possono essere sicuri che il software che scaricano o installano provenga da una fonte legittima e non sia stato manomesso.

Tuttavia, la firma del codice non è immune da attacchi. I criminali informatici possono sfruttare le vulnerabilità dell’infrastruttura di firma del codice, come rubare o falsificare i certificati, compromettere i server di firma o abusare dei servizi legittimi, per firmare il loro malware. Questo può aiutarli a eludere le difese di sicurezza e a indurre gli utenti a fidarsi del loro malware.

Un esempio di questa minaccia è la recente scoperta di Google che alcune app Android distribuite attraverso canali di terze parti sono state firmate con certificati di piattaforma compromessi. Questi certificati sono gestiti dai produttori di dispositivi Android e vengono utilizzati per firmare i componenti del sistema e le app preinstallate. Alcune delle app dannose sono risultate contenere parti del malware Manuscrypt, collegato agli hacker nordcoreani che prendono di mira le piattaforme di criptovalute.

Un altro esempio è l’osservazione di Mandiant secondo cui alcuni gruppi di ransomware utilizzano un comune servizio criminale per la firma del codice. Il servizio fornisce certificati o servizi di firma rubati o ottenuti in modo fraudolento agli attori delle minacce a pagamento. Questo permette loro di eludere i prodotti di rilevamento e risposta degli endpoint di vari fornitori.

Questi incidenti evidenziano la necessità di una maggiore vigilanza e protezione contro gli attacchi di code signing. La comunità della sicurezza deve essere consapevole di questa minaccia emergente e implementare misure di sicurezza aggiuntive, come la verifica della reputazione e della validità dei certificati, il monitoraggio delle attività di firma del codice e delle anomalie e l’utilizzo di più livelli di difesa. Inoltre, in futuro potremmo vedere un maggior numero di aggressori tentare di copiare questo tipo di attacco.