A cepa de ransomware BlackByte está sendo usada por atores mal-intencionados para abusar de servidores legítimos por meio de uma técnica conhecida como "Traga seu próprio driver".
BlackByte Ransomware usado para contornar camadas de segurança
O ransomware BlackByte está em uso desde 2021 e atua como um ransomware como serviço organização. Esses grupos oferecem produtos de ransomware para outros agentes mal-intencionados por uma taxa. BlackByte está agora de volta aos holofotes depois de ser usado em uma tática conhecida como "Bring Your Own Driver". Neste ataque, os cibercriminosos estão explorando uma vulnerabilidade no driver do utilitário de overclock gráfico do Windows RTCore64.sys conhecido como CVE-2021-16098.
Um ataque Bring Your Own Driver envolve a instalação de uma versão vulnerável do driver RTCore64.sys no dispositivo da vítima. O invasor pode então abusar desse driver defeituoso e, ao mesmo tempo, permanecer fora do radar do software de segurança.
A nova ameaça foi descoberta pela Sophos, uma conhecida empresa de cibersegurança. Em um
Postagem de notícias da Sophos, foi declarado que a vulnerabilidade CVE-2021-16098 "permite que um usuário autenticado leia e grave em arquivos arbitrários memória, que pode ser explorada para escalonamento de privilégios, execução de código sob altos privilégios ou informações divulgação".Mais de 1.000 drivers foram desativados pela BlackByte
Atores de ameaças conseguiram desabilitar mais de 1.000 drivers usados por produtos de detecção e resposta de endpoint (EDR) do setor. Conforme declarado na postagem do Security News mencionada acima, esses produtos de segurança dependem desses drivers para fornecer proteção à sua clientela.
Especificamente, essas empresas monitoram o uso de chamadas de API frequentemente abusadas, uma função que está sendo interrompida por meio desses ataques Traga seu próprio driver.
BlackByte causou problemas no passado
Esta não é a primeira vez que o BlackByte é usado em ataques cibernéticos. No início de 2022, o FBI emitiu um aviso sobre uma série de ataques de ransomware BlackByte ocorrendo por meio do abuso de servidores Microsoft Exchange. A série de exploits ocorreu em dezembro de 2021, quando os invasores estavam violando redes corporativas usando três vulnerabilidades do ProxyShell para instalar shells da web em servidores comprometidos.
Desde os ataques, patches foram desenvolvidos para as vulnerabilidades do ProxyShell, mas isso não parece ter impedido os operadores do BlackByte de continuar seus ataques em outros lugares.
Ransomware continua a ameaçar indivíduos e empresas
Ransomware tem a capacidade de causar enormes perdas, seja em dados ou participações financeiras. Esse tipo de ataque cibernético agora é tão popular que pode ser adquirido por meio de provedores de serviços ilícitos, dando a ainda mais agentes mal-intencionados a capacidade de explorar as vítimas. Não se sabe se os operadores do BlackByte continuarão a causar problemas no futuro, mas esse ataque do Windows é outro exemplo das capacidades dos programas de ransomware.
