Microsoft trekt tweehonderd certificaten in gebruikt door ransomwaregroep

[Captain Kirk]

Microsoft heeft eerder deze maand meer dan tweehonderd certificaten ingetrokken die door een ransomwaregroep werden gebruikt voor het digitaal signeren van malafide bestanden, zo claimt het techbedrijf op X. De gesigneerde bestanden leken op installatiebestanden van Microsoft Teams, maar waren in werkelijkheid een backdoor waarmee de Rhysida-ransomware uiteindelijk op systemen werd uitgerold.

Voor het signeren van de backdoor maakten de aanvallers gebruik van code signing diensten van Trusted Signing, SSL.com, DigiCert en GlobalSign, aldus Microsoft. De ransomwaregroep wordt door het techbedrijf "Vanilla Tempest" genoemd, maar staat ook bekend als Vice Society. Om slachtoffers het malafide installatiebestand te laten downloaden maakt de groep gebruik van search engine optimization (SEO) poisoning. Daarbij weten de aanvallers malafide domeinen hoger in de zoekresultaten te krijgen. In dit geval werd er gebruikgemaakt van domeinen met namen als "teams-download", "teams-install" en "teams-download".

 

bron: https://www.security.nl