Sor izsiljevalske programske opreme BlackByte zlonamerni akterji uporabljajo za zlorabo zakonitih strežnikov s tehniko, imenovano »Prinesi svojega gonilnika«.
BlackByte Ransomware, ki se uporablja za izogibanje varnostnim slojem
Izsiljevalska programska oprema BlackByte je v uporabi od leta 2021 in deluje kot izsiljevalska programska oprema kot storitev organizacija. Te skupine drugim zlonamernim akterjem za plačilo ponujajo izdelke z izsiljevalsko programsko opremo. BlackByte je zdaj spet v središču pozornosti, potem ko je bil uporabljen v taktiki, znani kot "Pripelji svojega voznika". V tem napadu kibernetski kriminalci izkoriščajo ranljivost v gonilniku pripomočka za overclocking grafike RTCore64.sys Windows, znano kot CVE-2021-16098.
Napad Bring Your Own Driver vključuje namestitev ranljive različice gonilnika RTCore64.sys v napravo žrtve. Napadalec lahko nato zlorabi ta gonilnik z napako, hkrati pa ostane pod radarjem varnostne programske opreme.
Novo grožnjo je odkril Sophos, znano podjetje za kibernetsko varnost. V
Objava novic Sophos, je bilo navedeno, da ranljivost CVE-2021-16098 "preverjenemu uporabniku omogoča branje in pisanje v poljubno pomnilnik, ki bi ga lahko izkoristili za stopnjevanje privilegijev, izvajanje kode pod visokimi privilegiji ali informacije razkritje«.BlackByte je onemogočil več kot 1000 gonilnikov
Akterjem groženj je uspelo onemogočiti več kot 1000 gonilnikov, ki jih uporabljajo industrijski izdelki za zaznavanje in odziv končnih točk (EDR). Kot je navedeno v zgoraj omenjeni objavi varnostnih novic, se takšni varnostni izdelki zanašajo na te gonilnike, da zagotovijo zaščito svojih strank.
Natančneje, ta podjetja spremljajo uporabo klicev API-ja, ki so pogosto zlorabljeni, funkcija, ki se prek teh napadov Bring Your Own Driver prekine.
BlackByte je v preteklosti povzročal težave
To ni prvič, da je bil BlackByte uporabljen v kibernetskih napadih. V začetku leta 2022 je FBI izdal opozorilo o nizu napadov z izsiljevalsko programsko opremo BlackByte, ki potekajo prek zloraba strežnikov Microsoft Exchange. Serija izkoriščanj se je zgodila decembra 2021, ko so napadalci vdirali v omrežja podjetij z uporabo treh ranljivosti ProxyShell za namestitev spletnih lupin na ogrožene strežnike.
Od napadov so bili razviti popravki za ranljivosti ProxyShell, vendar se zdi, da to operaterjem BlackByte ni preprečilo, da bi nadaljevali svoje napade drugje.
Izsiljevalska programska oprema še naprej ogroža tako posameznike kot podjetja
Izsiljevalska programska oprema lahko povzroči velike izgube, pa naj gre za podatke ali finančna imetja. Ta vrsta kibernetskega napada je zdaj tako priljubljena, da jo je mogoče kupiti prek nedovoljenih ponudnikov storitev, kar daje še več zlonamernim akterjem možnost izkoriščanja žrtev. Ni znano, ali bodo operaterji BlackByte še naprej povzročali težave v prihodnosti, vendar je ta napad na Windows še en primer zmogljivosti izsiljevalskih programov.
