Home-theater-designers
Το στέλεχος ransomware BlackByte χρησιμοποιείται από κακόβουλους παράγοντες για την κατάχρηση νόμιμων διακομιστών μέσω μιας τεχνικής γνωστής ως 'Bring Your Own Driver'.
BlackByte Ransomware που χρησιμοποιείται για την παράκαμψη επιπέδων ασφαλείας
Το BlackByte ransomware χρησιμοποιείται από το 2021 και λειτουργεί ως ransomware-as-a-service οργάνωση. Αυτές οι ομάδες προσφέρουν προϊόντα ransomware σε άλλους κακόβουλους παράγοντες έναντι αμοιβής. Το BlackByte είναι τώρα ξανά στο προσκήνιο αφού χρησιμοποιήθηκε σε μια τακτική γνωστή ως 'Φέρτε τον δικό σας οδηγό'. Σε αυτήν την επίθεση, οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται μια ευπάθεια στο πρόγραμμα οδήγησης βοηθητικού προγράμματος υπερχρονισμού γραφικών των Windows RTCore64.sys, γνωστό ως CVE-2021-16098.
ΚΑΤΑΣΚΕΥΗ ΒΙΝΤΕΟ ΤΗΣ ΗΜΕΡΑΣ
Η επίθεση Bring Your Own Driver περιλαμβάνει την εγκατάσταση μιας ευάλωτης έκδοσης του προγράμματος οδήγησης RTCore64.sys στη συσκευή ενός θύματος. Στη συνέχεια, ο εισβολέας μπορεί να κάνει κατάχρηση αυτού του ελαττωματικού προγράμματος οδήγησης, ενώ παράλληλα παραμένει υπό το ραντάρ του λογισμικού ασφαλείας.
Η νέα απειλή ανακαλύφθηκε από τη Sophos, μια γνωστή εταιρεία κυβερνοασφάλειας. Σε ένα Ανάρτηση Sophos News , αναφέρθηκε ότι η ευπάθεια CVE-2021-16098 'επιτρέπει σε έναν πιστοποιημένο χρήστη να διαβάζει και να γράφει σε αυθαίρετη μνήμη, η οποία θα μπορούσε να χρησιμοποιηθεί για κλιμάκωση προνομίων, εκτέλεση κώδικα υπό υψηλά προνόμια ή αποκάλυψη πληροφοριών'.
πώς να εισαγάγετε μια οριζόντια γραμμή στη λέξη
Πάνω από 1.000 προγράμματα οδήγησης έχουν απενεργοποιηθεί από το BlackByte
Οι φορείς απειλών κατάφεραν να απενεργοποιήσουν πάνω από 1.000 προγράμματα οδήγησης που χρησιμοποιούνται από προϊόντα εντοπισμού και απόκρισης τελικού σημείου της βιομηχανίας (EDR). Όπως αναφέρεται στην προαναφερθείσα ανάρτηση Security News, τέτοια προϊόντα ασφαλείας βασίζονται σε αυτούς τους οδηγούς για να παρέχουν προστασία στην πελατεία τους.
Συγκεκριμένα, αυτές οι εταιρείες παρακολουθούν τη χρήση κλήσεων API που καταχρώνται συχνά, μια λειτουργία που διακόπτεται μέσω αυτών των επιθέσεων Bring Your Own Driver.
Το BlackByte έχει προκαλέσει προβλήματα στο παρελθόν
Δεν είναι η πρώτη φορά που το BlackByte χρησιμοποιείται σε κυβερνοεπιθέσεις. Στις αρχές του 2022, το FBI εξέδωσε μια προειδοποίηση σχετικά με μια σειρά από επιθέσεις ransomware BlackByte που λαμβάνουν χώρα μέσω κατάχρηση διακομιστών Microsoft Exchange . Η σειρά εκμεταλλεύσεων έλαβε χώρα τον Δεκέμβριο του 2021, όπου οι εισβολείς παραβίαζαν εταιρικά δίκτυα χρησιμοποιώντας τρία τρωτά σημεία του ProxyShell για να εγκαταστήσουν κελύφη ιστού σε διακομιστές που είχαν παραβιαστεί.
Από τις επιθέσεις, έχουν αναπτυχθεί ενημερώσεις κώδικα για τα τρωτά σημεία του ProxyShell, αλλά αυτό δεν φαίνεται να εμπόδισε τους χειριστές BlackByte να συνεχίσουν τις επιθέσεις τους αλλού.
Το Ransomware συνεχίζει να απειλεί μεμονωμένα άτομα και εταιρείες
Το Ransomware έχει τη δυνατότητα να προκαλεί τεράστιες απώλειες, είτε πρόκειται για δεδομένα είτε για χρηματοοικονομικές αποθήκες. Αυτός ο τύπος κυβερνοεπίθεσης είναι πλέον τόσο δημοφιλής που μπορεί να αγοραστεί μέσω παράνομων παρόχων υπηρεσιών, δίνοντας σε ακόμη περισσότερους κακόβουλους παράγοντες τη δυνατότητα να εκμεταλλεύονται τα θύματα. Δεν είναι γνωστό εάν οι χειριστές BlackByte θα συνεχίσουν να προκαλούν προβλήματα στο μέλλον, αλλά αυτή η επίθεση των Windows αποτελεί ένα άλλο παράδειγμα των δυνατοτήτων των προγραμμάτων ransomware.