Kmeň ransomvéru BlackByte používajú záškodníci na zneužívanie legitímnych serverov prostredníctvom techniky známej ako „Prineste si vlastný ovládač“.
BlackByte Ransomware používaný na obchádzanie bezpečnostných vrstiev
BlackByte ransomware sa používa od roku 2021 a funguje ako a ransomware-as-a-service Organizácia. Tieto skupiny ponúkajú ransomvérové produkty iným škodlivým aktérom za poplatok. BlackByte je teraz opäť v centre pozornosti po tom, čo bol použitý v taktike známej ako „Prineste si vlastného ovládača“. V tomto útoku kyberzločinci využívajú zraniteľnosť v ovládači pomôcky na pretaktovanie grafiky RTCore64.sys Windows známej ako CVE-2021-16098.
Útok Bring Your Own Driver zahŕňa inštaláciu zraniteľnej verzie ovládača RTCore64.sys do zariadenia obete. Útočník potom môže zneužiť tento chybný ovládač a zároveň zostať pod radarom bezpečnostného softvéru.
Novú hrozbu objavila spoločnosť Sophos, známa firma zaoberajúca sa kybernetickou bezpečnosťou. V Príspevok v novinách Sophosbolo uvedené, že zraniteľnosť CVE-2021-16098 „umožňuje overenému používateľovi čítať a zapisovať do ľubovoľných pamäť, ktorá by mohla byť zneužitá na eskaláciu privilégií, spustenie kódu s vysokými privilégiami alebo informácie zverejnenie“.
BlackByte zakázalo viac ako 1 000 ovládačov
Aktérom hrozieb sa podarilo deaktivovať viac ako 1 000 ovládačov používaných priemyselnými produktmi na detekciu a odozvu koncových bodov (EDR). Ako je uvedené vo vyššie uvedenom príspevku Security News, takéto bezpečnostné produkty sa spoliehajú na tieto ovládače, aby poskytovali ochranu ich klientele.
Konkrétne tieto spoločnosti monitorujú používanie často zneužívaných volaní API, čo je funkcia, ktorá je zastavená týmito útokmi Bring Your Own Driver.
BlackByte v minulosti spôsoboval problémy
Nie je to prvýkrát, čo bol BlackByte použitý pri kybernetických útokoch. Začiatkom roku 2022 vydala FBI varovanie o sérii útokov BlackByte ransomware, ktoré sa odohrávajú prostredníctvom zneužívanie serverov Microsoft Exchange. Séria exploitov sa odohrala v decembri 2021, kedy útočníci narušili podnikové siete pomocou troch zraniteľností ProxyShell na inštaláciu webových shellov na napadnuté servery.
Od útokov boli vyvinuté záplaty pre zraniteľné miesta ProxyShell, ale zdá sa, že to nezabránilo operátorom BlackByte pokračovať v útokoch inde.
Ransomvér naďalej ohrozuje jednotlivcov aj spoločnosti
Ransomvér má schopnosť spôsobiť obrovské straty, či už ide o údaje alebo finančné prostriedky. Tento typ kybernetického útoku je teraz taký populárny, že si ho možno kúpiť prostredníctvom nelegálnych poskytovateľov služieb, čo ešte viac zlomyseľným aktérom umožňuje využívať obete. Nie je známe, či operátori BlackByte budú aj v budúcnosti spôsobovať problémy, ale tento útok na Windows je ďalším príkladom schopností ransomvérových programov.
