Les chercheurs de Sophos (ouvre dans un nouvel onglet) ont identifié que des vulnérabilités dans les pilotes matériels approuvés par Microsoft ont été exploitées dans des attaques de ransomware par un groupe connu sous le nom de Cuba.
Deux fichiers ont été trouvés sur des machines compromises qui, selon Sophos, « travaillent ensemble pour mettre fin aux processus ou aux services utilisés par divers fournisseurs de produits de sécurité des points finaux ».
Affirmant avoir "expulsé les attaquants des systèmes" avant que les choses ne deviennent incontrôlables, l'entreprise ne peut pas être sûre du type d'attaques (le cas échéant) qui ont pu avoir lieu, bien que certaines preuves indiquent une variante de malware connue sous le nom de " CIGARE BRÛLÉ".
Ransomware avec pilotes Microsoft
Sophos a informé Microsoft de ses conclusions, qui a ensuite publié un avis (ouvre dans un nouvel onglet) dans le cadre de sa publication mensuelle Patch Tuesday.
Le géant de la technologie a promis d'avoir mené une enquête qui a révélé que "l'activité se limitait à l'abus de plusieurs comptes de programme de développement et qu'aucune compromission n'avait été identifiée".
Entre-temps, Microsoft a également suspendu les comptes des vendeurs partenaires dans le but de protéger les utilisateurs.
Une mise à jour de sécurité a été publiée qui révoquera le certificat des fichiers concernés, et le blocage de la détection fait désormais partie du système d'exploitation (lors de l'utilisation de Microsoft Defender 1.377.987.0 ou version ultérieure).
Comme toujours, la société encourage les clients à installer les mises à jour le cas échéant, y compris pour le système d'exploitation et tout logiciel antivirus et de protection des points finaux installé. L'attaque du logiciel de sécurité de la cible est souvent le précurseur d'étapes plus efficaces, telles que le déploiement d'un ransomware.
Plus généralement, Sophos a noté une tendance selon laquelle les acteurs de la menace « gravissent la pyramide de la confiance, tentant d'utiliser des clés cryptographiques de plus en plus fiables pour signer numériquement leurs pilotes ».