Nell’incidente relativo al ransomware BlackCat avvenuto a febbraio 2023, abbiamo osservato una nuova capacità, principalmente utilizzata per la fase di elusione delle difese. Questa capacità si sovrappone ai driver maligni precedentemente rivelati da tre diversi fornitori, e dimostra l’ingegnosità e l’adattabilità degli operatori di ransomware nell’attuare attacchi sempre più sofisticati.
Driver del Kernel compromessi e Abuso di Certificati
Verso la fine del 2022, diversi fornitori di sicurezza, tra cui Mandiant, Sophos e Sentinel One, hanno rivelato l’uso di driver del kernel maliziosi firmati attraverso vari account di sviluppatori hardware Microsoft. Questi account erano stati utilizzati in una serie di attacchi informatici, tra cui incidenti basati su ransomware. Microsoft ha in seguito revocato diversi account abusati in questi attacchi.
Nel caso dell’incidente con il ransomware BlackCat di febbraio 2023, abbiamo osservato l’uso di un driver del kernel firmato, principalmente per la fase di elusione delle difese. Gli affiliati di BlackCat sono noti per l’uso di tecniche multiple durante questa fase, compromettendo le difese disabilitando e modificando strumenti o utilizzando tecniche come l’avvio in modalità sicura.
Analisi delle nuove capacità
Le nostre analisi evidenziano questa nuova capacità, che coinvolge l’uso di un driver del kernel firmato per l’elusione. Crediamo che questo nuovo driver del kernel sia una versione aggiornata che ha ereditato la funzionalità principale dai campioni rivelati nelle precedenti ricerche. Il driver è stato utilizzato con un eseguibile client utente separato nel tentativo di controllare, mettere in pausa e terminare vari processi sui punti finali di destinazione legati agli agenti di sicurezza distribuiti sulle macchine protette.
Gli attori malintenzionati utilizzano approcci diversi per firmare i loro driver del kernel maliziosi: tipicamente abusando dei portali di firma Microsoft, utilizzando certificati rubati o perduti, o ricorrendo a servizi clandestini.