Un gang de rançongiciels a utilisé les informations d’identification de la fuite de Lapsus pour signer des logiciels malveillants

Un Gang De Rançongiciels A Utilisé Les Informations D'identification De

Pourquoi c’est important : lorsque des attaquants divulguent de grandes quantités de données de grandes entreprises comme Gigabyte ou Nvidia, les effets peuvent apparaître sur une longue période et de manière inattendue. Les actions récemment découvertes d’un gang de rançongiciels illustrent comment les cyberattaques d’un groupe peuvent ouvrir la porte à d’autres groupes.

Microsoft et les autorités américaines ont récemment publié des test concernant un gang de rançongiciels utilisant des certificats Microsoft légitimes pour signer ses logiciels malveillants. L’astuce accorde aux logiciels malveillants un accès privilégié à Windows, ce qui les rend plus difficiles à combattre.

Les signatures cryptomonnaies indiquent à Windows que Microsoft fait confiance à un logiciel, le laissant interagir avec un système relativement sans entrave. Construire des signatures frauduleuses ou en obtenir frauduleusement de vraies est depuis longtemps une tactique courante des pirates.

Un gang de rançongiciels appelé Cuba – sans connexion avec la République de Cuba – utilise un compte-gouttes qui écrit un driver de Core qui désactive les logiciels de sécurité comme les programmes antivirus. Le driver du Core a été signé avec un certificat provenant de l’attaque du groupe Lapsus$ contre Nvidia plus tôt cette année.

Lapsus$ a ciblé Nvidia avec un ransomware en février. Bien que le ransomware n’ait pas affecté de manière significative les opérations de Nvidia, les pirates ont divulgué une grande partie des données de l’entreprise, y compris le code source et apparemment les certificats logiciels de Microsoft. La police britannique a ensuite arrêté deux adolescents londoniens en lien avec Lapsus$.

Un gang de rancongiciels a utilise les informations didentification de

En octobre dernier, trois sociétés de sécurité ont informé Microsoft qu’un acteur malveillant avait compromis plusieurs comptes de développeur Microsoft Partner Center, les utilisant pour soumettre des drivers malveillants pour les certificats Microsoft. L’analyse de la société suggère que les drivers ont été utilisés pour diffuser des logiciels malveillants.

Microsoft a ensuite suspendu les comptes, mis à jour la sécurité Windows pour révoquer les certificats et utilisé de nouvelles détections pour les versions 1.377.987.0 et plus récentes de Microsoft Defender. Les utilisateurs de Windows doivent maintenir le logiciel antivirus à jour pour lutter contre cela et d’autres menaces comme les vulnérabilités abordées par le Patch Tuesday de cette semaine.

Pendant ce temps, plus tôt ce mois-ci, le FBI et l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ont publié un test sur les actions de Cuba. Au cours de la dernière année, le groupe a doublé son nombre d’attaques réussies et augmenté ses revenus de rançons. Les enquêtes indiquent qu’en plus de son propre ransomware, Cuba utilise également Industrial Spy et RomCom Remote Access Trojan (RAT).

Ce n’est pas le seul cas récent où des attaquants ont utilisé des certificats compromis pour signer des logiciels malveillants. Un incident similaire est survenu concernant les certificats de la plate-forme Android en novembre. Comme Microsoft, Google a également rapidement invalidé ces certificats.