Saldırganlar Gigabyte veya Nvidia gibi büyük şirketlerden büyük miktarda veri sızdırdığında, etkileri uzun bir süre boyunca ve beklenmedik şekillerde ortaya çıkabilir. Bir fidye yazılımı çetesinin yakın zamanda keşfedilen eylemleri, bir gruptan gelen siber saldırıların diğer gruplara nasıl kapı açabileceğinin bir örneğidir.
Microsoft ve ABD yetkilileri kısa bir süre önce, kötü amaçlı yazılımlarını imzalamak için meşru Microsoft sertifikalarını kullanan bir fidye yazılımı çetesi hakkında bildirimler yayınladı. Hile, kötü amaçlı yazılımlara Windows’a ayrıcalıklı erişim sağlayarak savaşmayı zorlaştırır.
Şifreleme imzaları, Windows’a Microsoft’un bir yazılım parçasına güvendiğini ve onun bir sistemle nispeten engelsiz bir şekilde etkileşime girmesine izin verdiğini söyler. Hileli imzalar oluşturmak veya hileli bir şekilde gerçek imzalar elde etmek, uzun zamandır yaygın bir hacker taktiği olmuştur.
Küba adlı bir fidye yazılımı çetesi – Küba Cumhuriyeti ile bağlantısı yok – antivirüs programları gibi güvenlik yazılımlarını devre dışı bırakan bir çekirdek sürücüsü yazan bir damlalık kullanıyor. Çekirdek sürücüsü, Lapsus$ grubunun bu yılın başlarında Nvidia’ya yaptığı saldırıdan kaynaklanan bir sertifika ile imzalandı.
Lapsus$, Şubat ayında fidye yazılımıyla Nvidia’yı hedef aldı. Fidye yazılımı Nvidia’nın operasyonlarını önemli ölçüde etkilemese de bilgisayar korsanları, kaynak kodu ve görünüşe göre Microsoft yazılım sertifikaları da dahil olmak üzere şirketin verilerinin çoğunu sızdırdı. Birleşik Krallık polisi daha sonra Lapsus$ ile bağlantılı olarak iki Londralı genci tutukladı.
Bu Ekim ayında, üç güvenlik şirketi Microsoft’a, kötü niyetli bir kişinin birkaç Microsoft İş Ortağı Merkezi geliştirici hesabını Microsoft sertifikaları için kötü amaçlı sürücüler göndermek üzere kullanarak ele geçirdiğini bildirdi. Şirketin analizi, sürücülerin kötü amaçlı yazılım dağıtmak için kullanıldığını gösteriyor.
Microsoft daha sonra hesapları askıya aldı, Windows Güvenliğini sertifikaları iptal edecek şekilde güncelledi ve Microsoft Defender 1.377.987.0 ve daha yeni sürümler için yeni algılamalar kullandı. Windows kullanıcıları, bununla ve bu haftaki Salı Yaması’nda ele alınan güvenlik açıkları gibi diğer tehditlerle savaşmak için virüsten koruma yazılımını güncel tutmalıdır.
Bu arada, bu ayın başlarında FBI ve ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı (CISA), Küba’nın eylemleri hakkında bir danışma belgesi yayınladı. Geçen yıl boyunca, grup başarılı saldırı sayısını ikiye katladı ve fidye gelirini artırdı. Araştırmalar, Küba’nın kendi fidye yazılımına ek olarak Endüstriyel Casus ve RomCom Uzaktan Erişim Truva Atı (RAT) kullandığını gösteriyor.
Saldırganların kötü amaçlı yazılımları imzalamak için güvenliği ihlal edilmiş sertifikalar kullandığı son durum bu değil. Kasım ayında Android Platformu sertifikalarıyla ilgili benzer bir olay ortaya çıktı. Microsoft gibi Google da bu sertifikaları hemen geçersiz kıldı.
