Ļaunprātīgi dalībnieki izmanto BlackByte izpirkuma programmatūras celmu, lai ļaunprātīgi izmantotu likumīgus serverus, izmantojot paņēmienu, kas pazīstams kā "Bring Your Own Driver".
BlackByte Ransomware, ko izmanto, lai apietu drošības slāņus
BlackByte izpirkuma programmatūra tiek izmantota kopš 2021. gada un darbojas kā a ransomware-as-a-service organizācija. Šīs grupas par samaksu piedāvā izpirkuma programmatūras produktus citiem ļaunprātīgiem dalībniekiem. BlackByte tagad atkal ir uzmanības centrā pēc tam, kad tas tika izmantots taktikā, kas pazīstama kā "Bring Your Own Driver". Šajā uzbrukumā kibernoziedznieki izmanto ievainojamību RTCore64.sys Windows grafikas overclocking utilīta draiverī, kas pazīstams kā CVE-2021-16098.
Uzbrukums Bring Your Own Driver ietver ievainojamās RTCore64.sys draivera versijas instalēšanu upura ierīcē. Pēc tam uzbrucējs var ļaunprātīgi izmantot šo kļūdaino draiveri, vienlaikus paliekot zem drošības programmatūras radara.
Jaunos draudus atklāja plaši pazīstamā kiberdrošības firma Sophos. Iekšā
Sophos News ziņa, tika norādīts, ka CVE-2021-16098 ievainojamība "ļauj autentificētam lietotājam lasīt un rakstīt patvaļīgi atmiņa, ko var izmantot privilēģiju eskalācijai, koda izpildei ar augstām privilēģijām vai informācijai atklāšana".BlackByte ir atspējojis vairāk nekā 1000 draiveru
Draudu dalībniekiem ir izdevies atspējot vairāk nekā 1000 draiverus, ko izmanto nozares parametru noteikšanas un reaģēšanas (EDR) produkti. Kā teikts iepriekš minētajā drošības ziņu ierakstā, šādi drošības produkti paļaujas uz šiem draiveriem, lai nodrošinātu viņu klientu aizsardzību.
Konkrētāk, šie uzņēmumi uzrauga bieži ļaunprātīgi izmantotu API izsaukumu izmantošanu — funkciju, kas tiek apturēta, izmantojot šos Bring Your Own Driver uzbrukumus.
BlackByte ir radījis problēmas pagātnē
Šī nav pirmā reize, kad BlackByte tiek izmantots kiberuzbrukumos. 2022. gada sākumā FIB izdeva brīdinājumu par virkni BlackByte izspiedējprogrammatūras uzbrukumu, kas notiek, izmantojot Microsoft Exchange serveru ļaunprātīga izmantošana. Ekspluatācijas sērija notika 2021. gada decembrī, kad uzbrucēji uzlauza korporatīvos tīklus, izmantojot trīs ProxyShell ievainojamības, lai instalētu tīmekļa čaulas apdraudētajos serveros.
Kopš uzbrukumiem ir izstrādāti ielāpi ProxyShell ievainojamībām, taču šķiet, ka tas nav atturējis BlackByte operatorus turpināt uzbrukumus citur.
Ransomware turpina apdraudēt gan privātpersonas, gan uzņēmumus
Ransomware spēj radīt milzīgus zaudējumus neatkarīgi no tā, vai tie ir datu vai finanšu uzkrājumi. Šāda veida kiberuzbrukumi tagad ir tik populāri, ka tos var iegādāties ar nelegālu pakalpojumu sniedzēju starpniecību, sniedzot vēl ļaunākiem dalībniekiem iespēju izmantot upurus. Nav zināms, vai BlackByte operatori turpinās radīt problēmas arī turpmāk, taču šis Windows uzbrukums ir vēl viens piemērs izspiedējvīrusu programmu iespējām.
