Microsoft ha tomado medidas de seguridad para combatir la creciente amenaza.
Microsoft anunció el pasado 13 de diciembre que había suspendido cuentas que se usaban para publicar controladores maliciosos certificados por el Programa de desarrollo de hardware de Windows.
La investigación de Microsoft encontró que la actividad estaba restringida a unas pocas cuentas de programas de desarrolladores y que no se encontraron más ataques. La investigación se inició después de que la empresa de seguridad de la información Sophos informara en octubre sobre controladores no autorizados que se utilizaron para la implementación posterior a la explotación y el ransomware.
Este método de ataque se llama BYOVD (Bring Your Own Vulnerable Driver). Este método permite a un atacante con privilegios administrativos eludir fácilmente la seguridad del kernel de Windows. En lugar de escribir un exploit desde cero, un ciberdelincuente simplemente instala un controlador de terceros con vulnerabilidades conocidas.
Luego usa estas vulnerabilidades para obtener acceso instantáneo a algunas de las áreas más protegidas de Windows. Mandiant también descubrió que el grupo UNC3944 usa el cargador de arranque STONESTOP para instalar el controlador malicioso POORTRY, diseñado para finalizar programas antivirus y eliminar archivos.
Los atacantes usan certificados de firma de código comprometidos, robados y adquiridos ilegalmente para firmar malware. Se han firmado varias familias distintas de malware que están asociadas con actores de amenazas individuales.
Además, los hackers informáticos utilizan la firma de controladores maliciosos como un servicio, en cuyo caso reciben artefactos de malware firmados a través del proceso de certificación de Microsoft en nombre de los participantes en el servicio.
Se dice que STONESTOP y POORTRY se utilizaron en ataques a los sectores de telecomunicaciones, subcontratación comercial, servicios MSP, servicios financieros, criptomonedas y transporte. Desde entonces, Microsoft revocó los certificados de los archivos afectados y suspendió las cuentas de vendedores asociados para contrarrestar las amenazas.
