Kmen ransomwaru BlackByte využívají zákeřní aktéři ke zneužití legitimních serverů pomocí techniky známé jako „Přineste si svůj vlastní ovladač“.
BlackByte Ransomware používaný k obcházení bezpečnostních vrstev
BlackByte ransomware se používá od roku 2021 a funguje jako a ransomware-as-a-service organizace. Tyto skupiny nabízejí ransomwarové produkty dalším škodlivým aktérům za poplatek. BlackByte je nyní zpět v centru pozornosti poté, co byl použit v taktice známé jako „Přineste si vlastního řidiče“. V tomto útoku kyberzločinci zneužívají zranitelnost ovladače grafického přetaktování RTCore64.sys Windows známého jako CVE-2021-16098.
Útok Bring Your Own Driver zahrnuje instalaci zranitelné verze ovladače RTCore64.sys do zařízení oběti. Útočník pak může tento chybný ovladač zneužít a zároveň zůstat pod radarem bezpečnostního softwaru.
Novou hrozbu objevila Sophos, známá firma zabývající se kybernetickou bezpečností. V Sophos News příspěvekbylo uvedeno, že zranitelnost CVE-2021-16098 „umožňuje ověřenému uživateli číst a zapisovat do libovolného paměti, kterou lze zneužít pro eskalaci oprávnění, spuštění kódu s vysokými oprávněními nebo informace zveřejnění“.
BlackByte deaktivovalo více než 1 000 ovladačů
Aktéři hrozeb dokázali deaktivovat více než 1 000 ovladačů používaných průmyslovými produkty pro detekci a odezvu koncových bodů (EDR). Jak je uvedeno ve výše uvedeném příspěvku Security News, takové bezpečnostní produkty spoléhají na tyto ovladače, aby poskytovaly ochranu jejich klientele.
Konkrétně tyto společnosti monitorují používání často zneužívaných volání API, což je funkce, která je zastavena těmito útoky Bring Your Own Driver.
BlackByte způsobil problémy v minulosti
Není to poprvé, co byl BlackByte použit při kybernetických útocích. Začátkem roku 2022 vydala FBI varování před řadou ransomwarových útoků BlackByte, ke kterým dochází prostřednictvím zneužívání serverů Microsoft Exchange. K sérii exploitů došlo v prosinci 2021, kdy útočníci narušovali podnikové sítě pomocí tří zranitelností ProxyShell k instalaci webových shellů na kompromitované servery.
Od útoků byly vyvinuty záplaty pro zranitelnosti ProxyShellu, ale nezdá se, že by to operátorům BlackByte zabránilo v pokračování v útocích jinde.
Ransomware nadále ohrožuje jednotlivce i společnosti
Ransomware má schopnost způsobit obrovské ztráty, ať už v datech nebo finančních držbách. Tento typ kybernetického útoku je nyní tak populární, že jej lze zakoupit prostřednictvím nelegálních poskytovatelů služeb, což dává ještě zlomyslnějším aktérům možnost využívat oběti. Není známo, zda budou operátoři BlackByte v budoucnu způsobovat problémy, ale tento útok Windows je dalším příkladem schopností ransomwarových programů.