Il ceppo ransomware BlackByte viene utilizzato da attori malintenzionati per abusare di server legittimi tramite una tecnica nota come "Bring Your Own Driver".
BlackByte Ransomware utilizzato per aggirare i livelli di sicurezza
Il ransomware BlackByte è in uso dal 2021 e funge da ransomware come servizio organizzazione. Questi gruppi offrono prodotti ransomware ad altri malintenzionati a pagamento. BlackByte è ora tornato sotto i riflettori dopo essere stato utilizzato in una tattica nota come "Bring Your Own Driver". In questo attacco, i criminali informatici stanno sfruttando una vulnerabilità all'interno del driver dell'utilità di overclock grafico di Windows RTCore64.sys noto come CVE-2021-16098.
Un attacco Bring Your Own Driver comporta l'installazione di una versione vulnerabile del driver RTCore64.sys sul dispositivo di una vittima. L'attaccante può quindi abusare di questo driver difettoso rimanendo anche sotto il radar del software di sicurezza.
La nuova minaccia è stata scoperta da Sophos, una nota società di sicurezza informatica. In un
Messaggio Sophos News, è stato affermato che la vulnerabilità CVE-2021-16098 "consente a un utente autenticato di leggere e scrivere su dati arbitrari memoria, che potrebbe essere sfruttata per l'escalation dei privilegi, l'esecuzione di codice con privilegi elevati o informazioni divulgazione".Oltre 1.000 driver sono stati disabilitati da BlackByte
Gli attori delle minacce sono riusciti a disabilitare oltre 1.000 driver utilizzati dai prodotti di rilevamento e risposta degli endpoint (EDR) del settore. Come affermato nel già citato post di Security News, tali prodotti di sicurezza si affidano a questi driver per fornire protezione alla propria clientela.
In particolare, queste aziende monitorano l'uso di chiamate API di uso frequente, una funzione che viene interrotta tramite questi attacchi Bring Your Own Driver.
BlackByte ha causato problemi in passato
Non è la prima volta che BlackByte viene utilizzato in attacchi informatici. All'inizio del 2022, l'FBI ha emesso un avviso su una serie di attacchi ransomware BlackByte avvenuti tramite il abuso dei server Microsoft Exchange. La serie di exploit ha avuto luogo nel dicembre 2021, in cui gli aggressori stavano violando le reti aziendali utilizzando tre vulnerabilità ProxyShell per installare web shell su server compromessi.
Dopo gli attacchi, sono state sviluppate patch per le vulnerabilità di ProxyShell, ma questo non sembra aver impedito agli operatori BlackByte di continuare i loro attacchi altrove.
Il ransomware continua a minacciare individui e aziende allo stesso modo
Il ransomware ha la capacità di causare enormi perdite, che si tratti di dati o partecipazioni finanziarie. Questo tipo di attacco informatico è ora così popolare che può essere acquistato tramite fornitori di servizi illeciti, dando a un numero ancora maggiore di malintenzionati la possibilità di sfruttare le vittime. Non è noto se gli operatori BlackByte continueranno a causare problemi in futuro, ma questo attacco a Windows rappresenta un altro esempio delle capacità dei programmi ransomware.