Щамът рансъмуер BlackByte се използва от злонамерени участници за злоупотреба със законни сървъри чрез техника, известна като „Донесете свой собствен драйвер“.
BlackByte рансъмуер, използван за заобикаляне на слоевете за сигурност
Рансъмуерът BlackByte се използва от 2021 г. и действа като ransomware-като-услуга организация. Тези групи предлагат продукти за рансъмуер на други злонамерени участници срещу заплащане. BlackByte сега отново е в светлината на прожекторите, след като беше използван в тактика, известна като „Донесете свой собствен шофьор“. При тази атака киберпрестъпниците използват уязвимост в драйвера за помощна програма за овърклок на Windows RTCore64.sys, известен като CVE-2021-16098.
Атаката Bring Your Own Driver включва инсталиране на уязвима версия на драйвера RTCore64.sys на устройството на жертвата. След това нападателят може да злоупотребява с този дефектен драйвер, като същевременно остава под радара на софтуера за сигурност.
Новата заплаха е открита от Sophos, известна фирма за киберсигурност. В
Публикация на Sophos News, беше посочено, че уязвимостта CVE-2021-16098 „позволява на удостоверен потребител да чете и пише на произволни памет, която може да се използва за ескалация на привилегии, изпълнение на код с високи привилегии или информация разкриване“.Над 1000 драйвера са били деактивирани от BlackByte
Актьорите на заплахи са успели да деактивират над 1000 драйвера, използвани от продуктите за откриване и реагиране на крайни точки в индустрията (EDR). Както е посочено в гореспоменатата публикация на Security News, такива продукти за сигурност разчитат на тези драйвери, за да осигурят защита на своите клиенти.
По-конкретно, тези компании наблюдават използването на често злоупотребявани API повиквания, функция, която се спира чрез тези атаки Bring Your Own Driver.
BlackByte е причинявал проблеми в миналото
Това не е първият път, когато BlackByte се използва при кибератаки. В началото на 2022 г. ФБР издаде предупреждение за поредица от атаки на рансъмуер BlackByte, извършвани чрез злоупотреба със сървъри на Microsoft Exchange. Поредицата от експлойти се състоя през декември 2021 г., при което нападателите проникваха в корпоративни мрежи, използвайки три уязвимости на ProxyShell, за да инсталират уеб обвивки на компрометирани сървъри.
След атаките бяха разработени корекции за уязвимостите на ProxyShell, но това не изглежда да е спряло операторите на BlackByte да продължат атаките си другаде.
Рансъмуерът продължава да заплашва както физически лица, така и компании
Ransomware има способността да причинява огромни загуби, било то в данни или финансови притежания. Този тип кибератака вече е толкова популярен, че може да бъде закупен чрез незаконни доставчици на услуги, което дава възможност на още по-злонамерени участници да експлоатират жертвите. Не е известно дали операторите на BlackByte ще продължат да създават проблеми в бъдеще, но тази атака на Windows е още един пример за възможностите на рансъмуер програмите.
