Tulpina de ransomware BlackByte este folosită de actori rău intenționați pentru a abuza de serverele legitime printr-o tehnică cunoscută sub numele de „Aduceți propriul driver”.
BlackByte Ransomware folosit pentru a ocoli straturile de securitate
Ransomware-ul BlackByte a fost utilizat din 2021 și acționează ca un ransomware-ca-serviciu organizare. Aceste grupuri oferă produse ransomware altor actori rău intenționați contra cost. BlackByte este acum din nou în centrul atenției după ce a fost folosit într-o tactică cunoscută sub numele de „Adu-ți propriul șofer”. În acest atac, infractorii cibernetici exploatează o vulnerabilitate din driverul utilitarului de overclockare grafică Windows RTCore64.sys cunoscut sub numele de CVE-2021-16098.
Un atac Bring Your Own Driver implică instalarea unei versiuni vulnerabile a driverului RTCore64.sys pe dispozitivul unei victime. Atacatorul poate abuza de acest șofer defectuos, rămânând, de asemenea, sub radarul software-ului de securitate.
Noua amenințare a fost descoperită de Sophos, o firmă cunoscută de securitate cibernetică. Într-o
Postare Sophos News, s-a afirmat că vulnerabilitatea CVE-2021-16098 „permite unui utilizator autentificat să citească și să scrie în mod arbitrar. memorie, care ar putea fi exploatată pentru escaladarea privilegiilor, execuția codului cu privilegii mari sau informații dezvăluire".Peste 1.000 de șoferi au fost dezactivați de BlackByte
Actorii amenințărilor au reușit să dezactiveze peste 1.000 de drivere utilizate de produsele de detectare și răspuns la punctele finale din industrie (EDR). După cum sa menționat în postarea de știri de securitate menționată mai sus, astfel de produse de securitate se bazează pe acești drivere pentru a oferi protecție clienților lor.
Mai exact, aceste companii monitorizează utilizarea apelurilor API frecvent abuzate, o funcție care este oprită prin aceste atacuri Bring Your Own Driver.
BlackByte a cauzat probleme în trecut
Nu este prima dată când BlackByte este folosit în atacuri cibernetice. La începutul anului 2022, FBI a emis un avertisment cu privire la un șir de atacuri de ransomware BlackByte care au loc prin intermediul abuzul de servere Microsoft Exchange. Seria de exploit-uri a avut loc în decembrie 2021, în care atacatorii au încălcat rețelele corporative folosind trei vulnerabilități ProxyShell pentru a instala shell-uri web pe servere compromise.
De la atacuri, au fost dezvoltate patch-uri pentru vulnerabilitățile ProxyShell, dar acest lucru nu pare să fi împiedicat operatorii BlackByte să-și continue atacurile în altă parte.
Ransomware-ul continuă să amenințe indivizi și companii deopotrivă
Ransomware-ul are capacitatea de a provoca pierderi uriașe, fie că este vorba despre date sau deținerile financiare. Acest tip de atac cibernetic este acum atât de popular încât poate fi achiziționat prin intermediul furnizorilor de servicii iliciți, oferind și mai multor actori rău intenționați capacitatea de a exploata victimele. Nu se știe dacă operatorii BlackByte vor continua să cauzeze probleme în viitor, dar acest atac Windows este un alt exemplu al capabilităților programelor ransomware.