Pourquoi est-ce important: Lorsque des attaquants divulguent de grandes quantités de données de grandes entreprises comme Gigabyte ou Nvidia, les effets peuvent apparaître sur une longue période et de manière inattendue. Les actions récemment découvertes d’un gang de rançongiciels illustrent comment les cyberattaques d’un groupe peuvent ouvrir la porte à d’autres groupes.

Microsoft et les autorités américaines ont récemment publié des avis concernant un gang de rançongiciels utilisant des certificats Microsoft légitimes pour signer ses logiciels malveillants. L’astuce accorde aux logiciels malveillants un accès privilégié à Windows, ce qui les rend plus difficiles à combattre.

Les signatures cryptographiques indiquent à Windows que Microsoft fait confiance à un logiciel, le laissant interagir avec un système relativement sans entrave. Construire des signatures frauduleuses ou en obtenir frauduleusement de vraies est depuis longtemps une tactique courante des pirates.

Un gang de rançongiciels appelé Cuba – sans connexion avec la République de Cuba – utilise un compte-gouttes qui écrit un pilote de noyau qui désactive les logiciels de sécurité comme les programmes antivirus. Le pilote du noyau a été signé avec un certificat provenant de l’attaque du groupe Lapsus$ contre Nvidia plus tôt cette année.

Lapsus$ a ciblé Nvidia avec un ransomware en février. Bien que le ransomware n’ait pas affecté de manière significative les opérations de Nvidia, les pirates ont divulgué une grande partie des données de l’entreprise, y compris le code source et apparemment les certificats logiciels de Microsoft. La police britannique a ensuite arrêté deux adolescents londoniens en lien avec Lapsus$.

2022 08 08 image 10

En octobre, trois sociétés de sécurité informé Microsoft qu’un acteur malveillant avait compromis plusieurs comptes de développeur Microsoft Partner Center, en les utilisant pour soumettre des pilotes malveillants pour les certificats Microsoft. L’analyse de la société suggère que les pilotes ont été utilisés pour diffuser des logiciels malveillants.

Microsoft a ensuite suspendu les comptes, mis à jour la sécurité Windows pour révoquer les certificats et utilisé de nouvelles détections pour les versions 1.377.987.0 et plus récentes de Microsoft Defender. Les utilisateurs de Windows doivent maintenir le logiciel antivirus à jour pour lutter contre cela et d’autres menaces comme les vulnérabilités abordées par le Patch Tuesday de cette semaine.

Pendant ce temps, plus tôt ce mois-ci, le FBI et la US Cybersecurity and Infrastructure Security Agency (CISA) libéré un avis sur les actions de Cuba. Au cours de la dernière année, le groupe a doublé son nombre d’attaques réussies et augmenté ses revenus de rançons. Les enquêtes indiquent qu’en plus de son propre ransomware, Cuba utilise également Industrial Spy et RomCom Remote Access Trojan (RAT).

Ce n’est pas le seul cas récent où des attaquants ont utilisé des certificats compromis pour signer des logiciels malveillants. Un incident similaire est survenu concernant les certificats de la plate-forme Android en novembre. Comme Microsoft, Google a également rapidement invalidé ces certificats.