BlackByte Ransomware missbrukar legitima drivrutiner för att inaktivera säkerhetsåtgärder

BlackByte Ransomware missbrukar legitima drivrutiner för att inaktivera säkerhetsåtgärder

BlackByte ransomware-stammen används av illvilliga aktörer för att missbruka legitima servrar via en teknik som kallas 'Bring Your Own Driver'.



BlackByte Ransomware används för att kringgå säkerhetslager

BlackByte ransomware har använts sedan 2021 och fungerar som en ransomware-as-a-service organisation. Dessa grupper erbjuder ransomware-produkter till andra illvilliga aktörer mot en avgift. BlackByte är nu tillbaka i rampljuset efter att ha använts i en taktik som kallas 'Bring Your Own Driver'. I den här attacken utnyttjar cyberbrottslingar en sårbarhet i drivrutinen för grafiköverklockningsverktyget RTCore64.sys för Windows, känd som CVE-2021-16098.





MAKEUSE AV DAGENS VIDEO

En Bring Your Own Driver-attack innebär att en sårbar version av RTCore64.sys-drivrutinen installeras på ett offers enhet. Angriparen kan då missbruka denna felaktiga drivrutin samtidigt som han håller sig under säkerhetsprogramvarans radar.





Det nya hotet upptäcktes av Sophos, ett välkänt cybersäkerhetsföretag. I en Sophos News inlägg , uppgavs att CVE-2021-16098-sårbarheten 'tillåter en autentiserad användare att läsa och skriva till godtyckligt minne, vilket kan utnyttjas för privilegieskalering, kodexekvering under höga privilegier eller informationsavslöjande'.

hur många foton kan 32gb rymma

Över 1 000 drivrutiner har inaktiverats av BlackByte

 grafik av hänglås med skalle insvept i kedjor

Hotaktörer har lyckats inaktivera över 1 000 drivrutiner som används av EDR-produkter (endpoint detection and response). Som nämnts i det ovannämnda inlägget Security News, förlitar sig sådana säkerhetsprodukter på dessa drivrutiner för att ge skydd till sina kunder.



Specifikt övervakar dessa företag användningen av ofta missbrukade API-anrop, en funktion som stoppas via dessa Bring Your Own Driver-attacker.

BlackByte har orsakat problem tidigare

Det är inte första gången som BlackByte har använts i cyberattacker. I början av 2022 utfärdade FBI en varning om en rad BlackByte ransomware-attacker som äger rum via missbruk av Microsoft Exchange-servrar . Serien av exploateringar ägde rum i december 2021, där angripare bröt mot företagsnätverk med hjälp av tre ProxyShell-sårbarheter för att installera webbskal på komprometterade servrar.





Sedan attackerna har patchar utvecklats för ProxyShell-sårbarheterna, men detta verkar inte ha hindrat BlackByte-operatörer från att fortsätta sina attacker någon annanstans.

Ransomware fortsätter att hota både individer och företag

Ransomware har förmågan att orsaka enorma förluster, oavsett om det är i data eller finansiella innehav. Denna typ av cyberattack är nu så populär att den kan köpas via illegala tjänsteleverantörer, vilket ger ännu fler illvilliga aktörer möjligheten att utnyttja offer. Det är inte känt om BlackByte-operatörer kommer att fortsätta orsaka problem i framtiden, men den här Windows-attacken står som ytterligare ett exempel på möjligheterna med ransomware-program.