A BlackByte ransomware-törzset rosszindulatú szereplők arra használják, hogy visszaéljenek legitim szerverekkel a "hozd el a saját illesztőprogramodat" néven ismert technikával.
A BlackByte Ransomware a biztonsági rétegek megkerülésére szolgál
A BlackByte ransomware-t 2021 óta használják, és a ransomware-as-a-service szervezet. Ezek a csoportok zsarolóprogramokat kínálnak más rosszindulatú szereplőknek díj ellenében. A BlackByte ismét a reflektorfénybe került, miután a „Bring Your Own Driver” néven ismert taktikában használták. Ebben a támadásban a kiberbűnözők az RTCore64.sys Windows grafikus túlhajtási segédprogram CVE-2021-16098 néven ismert sebezhetőségét használják ki.
A Bring Your Own Driver támadás magában foglalja az RTCore64.sys illesztőprogram sebezhető verziójának telepítését az áldozat eszközére. A támadó ezután visszaélhet ezzel a hibás meghajtóval, miközben a biztonsági szoftverek radarja alatt marad.
Az új fenyegetést a Sophos, egy jól ismert kiberbiztonsági cég fedezte fel. Az a
Sophos News bejegyzés, azt állították, hogy a CVE-2021-16098 biztonsági rés "lehetővé teszi a hitelesített felhasználó számára, hogy tetszőlegesen olvassa és írjon memória, amely kihasználható jogosultságok eszkalálására, kódvégrehajtásra magas jogosultságokkal vagy információkra közzététel".Több mint 1000 illesztőprogramot tiltott le a BlackByte
A fenyegetés szereplőinek több mint 1000 illesztőprogramot sikerült letiltaniuk az ipari végpont-észlelési és válaszadási (EDR) termékekben. Amint a fent említett Security News bejegyzésben szerepel, az ilyen biztonsági termékek ezekre az illesztőprogramokra támaszkodnak, hogy védelmet nyújtsanak ügyfeleik számára.
Pontosabban, ezek a cégek figyelik a gyakran visszaélt API-hívások használatát, amely funkciót ezek a Bring Your Own Driver támadások leállítják.
A BlackByte problémákat okozott a múltban
Nem ez az első alkalom, hogy a BlackByte-ot kibertámadásokra használják. 2022 elején az FBI figyelmeztetést adott ki BlackByte ransomware támadások sorozatáról, amelyek a Microsoft Exchange szerverekkel való visszaélés. A sorozatos visszaélésekre 2021 decemberében került sor, amikor a támadók három ProxyShell-sebezhetőséget használva feltörték a vállalati hálózatokat, és webhéjakat telepítettek a feltört szerverekre.
A támadások óta javításokat fejlesztettek ki a ProxyShell sebezhetőségeire, de úgy tűnik, ez nem akadályozta meg a BlackByte operátorokat abban, hogy máshol folytassák támadásaikat.
A Ransomware továbbra is fenyegeti az egyéneket és a vállalatokat egyaránt
A Ransomware képes hatalmas veszteségeket okozni, legyen szó adatokról vagy pénzügyi állományokról. Az ilyen típusú kibertámadások ma már annyira népszerűek, hogy illegális szolgáltatókon keresztül is megvásárolhatók, így még több rosszindulatú szereplő képes kihasználni az áldozatokat. Nem tudni, hogy a BlackByte operátorok továbbra is okoznak-e problémákat a jövőben, de ez a Windows-támadás a zsarolóprogramok képességeinek újabb példája.