Haitalliset toimijat käyttävät BlackByte ransomware -kantaa laillisten palvelimien väärinkäyttöön "Bring Your Own Driver" -tekniikalla.

BlackByte Ransomware, jota käytetään ohittamaan suojauskerrokset

BlackByte ransomware on ollut käytössä vuodesta 2021 ja toimii a ransomware-as-a-service organisaatio. Nämä ryhmät tarjoavat ransomware-tuotteita muille haitallisille toimijoille maksua vastaan. BlackByte on nyt jälleen valokeilassa, kun sitä on käytetty "Bring Your Own Driver" -taktiikissa. Tässä hyökkäyksessä verkkorikolliset käyttävät hyväkseen RTCore64.sys Windowsin näytönohjaimen ylikellotusapuohjelman haavoittuvuutta, joka tunnetaan nimellä CVE-2021-16098.

Bring Your Own Driver -hyökkäys sisältää RTCore64.sys-ohjaimen haavoittuvan version asentamisen uhrin laitteeseen. Hyökkääjä voi sitten väärinkäyttää tätä viallista ohjainta ja pysyä samalla tietoturvaohjelmistojen tutkan alla.

Uuden uhan havaitsi tunnettu kyberturvallisuusyritys Sophos. Jonkin sisällä Sophos News -postaus, todettiin, että CVE-2021-16098-haavoittuvuus "antaa todennetun käyttäjän lukea ja kirjoittaa mielivaltaisesti muistia, jota voidaan hyödyntää oikeuksien eskalointiin, koodin suorittamiseen korkeilla oikeuksilla tai tiedottamiseen paljastaminen".

instagram viewer

BlackByte on poistanut käytöstä yli 1 000 ohjainta

Uhkatoimijat ovat onnistuneet poistamaan käytöstä yli 1 000 alan päätepisteiden havaitsemis- ja vastaustuotteiden (EDR) käyttämää ohjainta. Kuten edellä mainitussa Security News -julkaisussa todettiin, tällaiset tietoturvatuotteet luottavat näihin ohjaimiin suojaamaan asiakaskuntaansa.

Erityisesti nämä yritykset valvovat usein väärin käytettyjen API-kutsujen käyttöä, toimintoa, joka pysäytetään näiden Bring Your Own Driver -hyökkäysten kautta.

BlackByte on aiheuttanut ongelmia aiemmin

Tämä ei ole ensimmäinen kerta, kun BlackByteä käytetään kyberhyökkäyksiin. Vuoden 2022 alussa FBI antoi varoituksen sarjasta BlackByte lunnasohjelmahyökkäyksiä, jotka tapahtuivat Microsoft Exchange -palvelimien väärinkäyttö. Hyökkäysten sarja tapahtui joulukuussa 2021, jolloin hyökkääjät murtautuivat yritysverkkoihin käyttämällä kolmea ProxyShell-haavoittuvuutta asentaakseen verkkokuoret vaarantuneille palvelimille.

Hyökkäysten jälkeen on kehitetty korjaustiedostoja ProxyShell-haavoittuvuuksille, mutta tämä ei näytä estäneen BlackByte-operaattoreita jatkamasta hyökkäyksiään muualla.

Ransomware uhkaa edelleen sekä yksilöitä että yrityksiä

Ransomwarella on kyky aiheuttaa valtavia tappioita, olipa kyse sitten datasta tai rahoitusosuuksista. Tämän tyyppiset kyberhyökkäykset ovat nyt niin suosittuja, että niitä voi ostaa laittomien palveluntarjoajien kautta, mikä antaa entistä enemmän ilkeämmille toimijoille mahdollisuuden hyödyntää uhreja. Ei tiedetä, aiheuttavatko BlackByte-operaattorit ongelmia tulevaisuudessa, mutta tämä Windows-hyökkäys on toinen esimerkki kiristyshaittaohjelmien ominaisuuksista.