Штамм программы-вымогателя BlackByte используется злоумышленниками для злоупотребления законными серверами с помощью метода, известного как «Принеси свой собственный драйвер».
Программа-вымогатель BlackByte используется для обхода уровней безопасности
Программа-вымогатель BlackByte используется с 2021 года и действует как программа-вымогатель как услуга организация. Эти группы предлагают продукты-вымогатели другим злоумышленникам за определенную плату. BlackByte теперь снова в центре внимания после того, как его использовали в тактике, известной как «Принеси своего собственного водителя». В этой атаке киберпреступники используют уязвимость в драйвере утилиты разгона графики Windows RTCore64.sys, известную как CVE-2021-16098.
Атака Bring Your Own Driver предполагает установку уязвимой версии драйвера RTCore64.sys на устройство жертвы. Злоумышленник может затем злоупотреблять этим дефектным драйвером, оставаясь при этом незамеченным программным обеспечением безопасности.
Новая угроза была обнаружена Sophos, известной фирмой по кибербезопасности. В
Пост в новостях Sophosбыло заявлено, что уязвимость CVE-2021-16098 «позволяет аутентифицированному пользователю читать и записывать произвольные памяти, которая может быть использована для повышения привилегий, выполнения кода с высокими привилегиями или информации. раскрытие».BlackByte отключила более 1000 драйверов
Злоумышленникам удалось отключить более 1000 драйверов, используемых отраслевыми продуктами обнаружения и реагирования на конечные точки (EDR). Как указано в вышеупомянутом сообщении Security News, такие продукты безопасности полагаются на эти драйверы для обеспечения защиты своих клиентов.
В частности, эти компании отслеживают использование часто злоупотребляемых вызовов API, функция, которая была остановлена из-за этих атак «Принеси свой собственный драйвер».
BlackByte вызывал проблемы в прошлом
Это не первый случай, когда BlackByte используется в кибератаках. В начале 2022 года ФБР выпустило предупреждение о серии атак программ-вымогателей BlackByte, происходящих через злоупотребление серверами Microsoft Exchange. Серия эксплойтов произошла в декабре 2021 года, когда злоумышленники взламывали корпоративные сети, используя три уязвимости ProxyShell для установки веб-оболочек на скомпрометированные серверы.
После атак были разработаны исправления для уязвимостей ProxyShell, но, похоже, это не остановило операторов BlackByte от продолжения атак в других местах.
Программы-вымогатели продолжают угрожать как отдельным лицам, так и компаниям
Программы-вымогатели способны причинять огромные потери, будь то данные или финансовые активы. Этот тип кибератаки в настоящее время настолько популярен, что его можно приобрести через незаконных поставщиков услуг, что дает еще большему количеству злоумышленников возможность использовать жертв. Неизвестно, продолжат ли операторы BlackByte создавать проблемы в будущем, но эта атака Windows является еще одним примером возможностей программ-вымогателей.