Когда злоумышленники выставляют в интернет большие объёмы данных от крупных компаний вроде Gigabyte или Nvidia, последствия могут наблюдаться очень долго и в самых неожиданных формах. Например, кибератаки одной группы могут стать основой преступлений других групп.

Microsoft и власти США недавно сообщили о банде вымогателей, использующих сертификаты Microsoft для подписи вредоносного ПО. Это даёт вредоносным приложениям доступ к Windows. Криптографические подписи сообщают Windows, что Microsoft доверяет этому программному обеспечению, позволяя без преград взаимодействовать с системой.

Группа вымогателей под названием Cuba (не страна) использует дроппер, который записывает драйвер ядра, отключающий защиту вроде антивирусов. Драйвер ядра подписан сертификатом, полученным в результате атаки группы Lapsus$ на компанию Nvidia в начале года.

В феврале группа Lapsus$ нацелился на Nvidia с применением программы-вымогателя. Она не помешала компании продолжить работу, но хакеры смогли заполучить значительную часть данных Nvidia. Среди них могли быть исходный код и сертификаты программного обеспечения Microsoft. Позднее полиция Великобритании арестовала двух лондонских подростков в рамках расследования.

В октябре года три занимающиеся безопасностью компании сообщили Microsoft, что злоумышленник взломал несколько аккаунтов разработчиков Microsoft Partner Center. Они использовались для отправки вредоносных драйверов для сертификатов Microsoft. Драйверы могли применяться для доставки вредоносного ПО.

Microsoft приостановила действие аккаунтов, обновила систему безопасности Windows для отзыва сертификатов и применила новые средства обнаружения в Microsoft Defender 1.377.987.0 и новее. Именно по причине подобных атак пользователи Windows должны постоянно обновлять антивирусное программное обеспечение.

ФБР и Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) выпустили в декабре посвящённый Cuba бюллетень. За последний год группа в два раза увеличила количество успешных атак и свой доход от выкупов. Кроме своих программ-вымогателей, группа использует Industrial Spy и RomCom Remote Access Trojan (RAT).

Это не единственный случай за последнее время, когда хакеры применили скомпрометированные сертификаты для подписи вредоносных программ. В ноябре подобное случилось с сертификатами платформы Android. Google тоже оперативно отозвала эти сертификаты, пишет Techspot.