Il ransomware BlackMatter smette di funzionare a causa della pressione della polizia

I ricercatori Sophos (si apre in una nuova scheda) hanno identificato che le vulnerabilità nei driver hardware approvati da Microsoft sono state sfruttate in attacchi ransomware da parte di un gruppo noto come Cuba.

Sono stati trovati un paio di file su macchine compromesse che, secondo Sophos, "lavorano insieme per terminare processi o servizi utilizzati da vari fornitori di prodotti per la sicurezza degli endpoint".

Affermando di aver "allontanato gli aggressori dai sistemi" prima che le cose sfuggissero di mano, la società non può essere sicura di quale tipo di attacchi (se ce ne fossero) possa aver avuto luogo, sebbene alcune prove indichino una variante di malware nota come " SIGARO BRUCIATO".

Ransomware con driver Microsoft

Sophos ha informato Microsoft dei suoi risultati, che ha poi emesso un avviso (si apre in una nuova scheda) come parte della sua pubblicazione mensile Patch Tuesday.

Il gigante della tecnologia ha promesso di aver completato un'indagine che ha rilevato che "l'attività era limitata all'abuso di più account del programma per sviluppatori e non sono stati identificati compromessi".

Microsoft ha anche sospeso gli account dei venditori partner nel tentativo di proteggere gli utenti nel frattempo.

È stato rilasciato un aggiornamento della sicurezza che revocherà il certificato dei file interessati e il blocco del rilevamento fa ora parte del sistema operativo (quando si utilizza Microsoft Defender 1.377.987.0 o versioni successive).

Come sempre, l'azienda incoraggia i clienti a installare gli aggiornamenti ove applicabile, incluso il sistema operativo e qualsiasi software antivirus e di protezione degli endpoint installato. L'attacco al software di sicurezza del bersaglio è spesso il precursore di passaggi più incisivi, come la distribuzione di ransomware.

Più in generale, Sophos ha notato una tendenza che vede gli attori delle minacce "scalare la piramide della fiducia, cercando di utilizzare chiavi crittografiche sempre più affidabili per firmare digitalmente i loro controllori".

Condividi questo