Microsoft razbio mrežu za falsificiranje koda koju koriste ransomware grupacije
Microsoft je zaustavljen mrežu za falsificiranje koda koju su koristile ransomware grupacije, obezbedivši jačanju digitalnu zaštitu protiv napada.
Šta se desilo?
Microsoft je obustavljen infrastrukturu najveće ilegalne usluge za digitalno potpisivanje malicioznog koda koju su koristile ransomware grupacije i drugi sajber kriminalni elementi. Kompanija je zatvorila vebsajt Fox Tempest grupe, opozvalila preko 1.000 zloupotrebljenih sertifikata i deaktivrisala stotine virtuelnih mašina postavljenih na Azure platformi. Ova operacija je predstavljala posebno opasnu uslugu - Fox Tempest je naplaćivala između 5.000 i 9.000 dolara za pristup servisima digitlnog potpisivanja.
Koga pogađa?
Ozbiljnu pretnju čine sve organizacije čiji zaposleni mogu biti ciljani preko SEO otrovanih sajtova ili malicioznih oglasa. Posebno su ugrožene velike kompanije jer su kriminalni elementi kreirali lažne instalere za popularne poslovne softver kao što su AnyDesk, Microsoft Teams, PuTTY i Webex. Takođe su pogođeni korisnici koji preuzimaju софтвер sa sumnjivих izvora i vladine institucije koje su već bile u žiži Fox Tempest grupe.
Kako se zaštititi?
- Preuzimajte softver samo sa zvaničnih sajtova proizvodjača - nikad sa sumnjivих izvora
- Budite skeptični prema oglasima na internetu koji nude popularni softver sa popustima
- Proverite identitet sajta pre nego što preuzmete bilo kakav instalacijski fajl
- Koristite blokirače malicioznih oglasa i dodatke za zaštitu od SEO otrovavanja
- Regularne ažuriranje operativnog sistema i antivirus softvera je ključno
- Trenujte zaposlene da prepoznaju phishing i socijalni inženjering
Tehnički detalji
Fox Tempest grupa je koristila ukradene identitete kako bi prošla verifikaciju identiteta neophodnu za Microsoft-ov Azure Artifact Signing servis. Kreirali su stotine Azure naloga i tenanta kroz koje su pružali ilegalne usluge potpisivanja koda. Takođe su hostovali preconfigurišane virtuelne mašine koje su omogućavale pretnjama da direktno otpreme maliciozne fajlove i primene digitalno potpisane binarke. Grupa je povezana sa ransomware afijacijama koje rade sa INC, Qilin, Akira i Rhysida gangima. Vanilla Tempest grupa je lažne instalere distribuirala preko SEO otrovavanja i malvertisinga kako bi implementirala razne backdore, info-stealer i ransomware programe.
Preporuka Sajber Radara
Ova operacija pokazuje evoluciju sajber kriminala prema modularnom ekosistemu gde se usluge kupuju i prodaju. Organizacije trebaju da proveravaju legitimnost svih preuzimanja, pojačaju edukaciju zaposlenih i primene višeslojnu zaštitu kako bi se zaštitile od ovakvih kampanja.
