【安全圈】勒索软件使用微软签名恶意Windows驱动

关键词

勒索软件

微软取消了多个Microsoft硬件开发者账号，原因是这些账号通过Windows Hardware Developer Program认证程序递交的驱动在获得签名之后被用于包括勒索软件在内的网络攻击。

微软称，安全公司SentinelOne、Mandiant和Sophos在10月19日报告了这些活动，随后的调查发现 Microsoft Partner Center的多个开发者账号参与了递交恶意驱动获得微软签名的活动。

安全研究人员称，他们发现了一种新的工具包，包含了名为 STONESTOP (加载器) 和POORTRY（内核模式驱动）的组件被用于网络攻击，其中POORTRY有微软签名。