Szczep oprogramowania ransomware BlackByte jest wykorzystywany przez złośliwe podmioty do nadużywania legalnych serwerów za pomocą techniki znanej jako „Bring Your Own Driver”.
BlackByte Ransomware używane do omijania warstw bezpieczeństwa
Oprogramowanie ransomware BlackByte jest używane od 2021 roku i działa jako oprogramowanie ransomware jako usługa organizacja. Grupy te oferują produkty ransomware innym złośliwym podmiotom za opłatą. BlackByte jest teraz ponownie w centrum uwagi po tym, jak został użyty w taktyce znanej jako „Bring Your Own Driver”. W tym ataku cyberprzestępcy wykorzystują lukę w sterowniku narzędzia do przetaktowywania grafiki Windows RTCore64.sys, znaną jako CVE-2021-16098.
Atak Bring Your Own Driver polega na zainstalowaniu podatnej na ataki wersji sterownika RTCore64.sys na urządzeniu ofiary. Osoba atakująca może następnie nadużyć tego wadliwego sterownika, jednocześnie pozostając pod radarem oprogramowania zabezpieczającego.
Nowe zagrożenie zostało odkryte przez Sophos, znaną firmę zajmującą się cyberbezpieczeństwem. W
Nowości Sophosstwierdzono, że luka CVE-2021-16098 „pozwala uwierzytelnionemu użytkownikowi na odczyt i zapis do dowolnego pamięć, którą można wykorzystać do eskalacji uprawnień, wykonania kodu z wysokimi uprawnieniami lub informacji ujawnienie".Ponad 1000 sterowników zostało wyłączonych przez BlackByte
Aktorom udało się wyłączyć ponad 1000 sterowników używanych przez branżowe produkty do wykrywania i reagowania na punkty końcowe (EDR). Jak stwierdzono we wspomnianym poście w Security News, takie produkty zabezpieczające polegają na tych sterownikach, aby zapewnić ochronę swoim klientom.
W szczególności firmy te monitorują korzystanie z często nadużywanych wywołań API, funkcji, która jest wstrzymywana przez ataki Bring Your Own Driver.
BlackByte powodował problemy w przeszłości
To nie pierwszy raz, kiedy BlackByte jest wykorzystywany w cyberatakach. Na początku 2022 roku FBI wydało ostrzeżenie o serii ataków ransomware BlackByte odbywających się za pośrednictwem nadużywanie serwerów Microsoft Exchange. Seria exploitów miała miejsce w grudniu 2021 r., kiedy to osoby atakujące włamywały się do sieci korporacyjnych, wykorzystując trzy luki w zabezpieczeniach ProxyShell w celu zainstalowania powłok sieciowych na zaatakowanych serwerach.
Od czasu ataków opracowano łatki dla luk w zabezpieczeniach ProxyShell, ale nie wydaje się, aby powstrzymało to operatorów BlackByte przed kontynuowaniem ataków w innych miejscach.
Ransomware nadal zagraża zarówno osobom fizycznym, jak i firmom
Ransomware może powodować ogromne straty, czy to w danych, czy w holdingach finansowych. Ten rodzaj cyberataku jest obecnie tak popularny, że można go kupić za pośrednictwem nielegalnych dostawców usług, co daje jeszcze większej liczbie złośliwych aktorów możliwość wykorzystywania ofiar. Nie wiadomo, czy operatorzy BlackByte będą nadal sprawiać problemy w przyszłości, ale ten atak na Windows jest kolejnym przykładem możliwości programów ransomware.
