La varietat de ransomware BlackByte està sent utilitzada per actors maliciosos per abusar dels servidors legítims mitjançant una tècnica coneguda com 'Bring Your Own Driver'.
BlackByte Ransomware utilitzat per evitar les capes de seguretat
El ransomware BlackByte s'utilitza des del 2021 i actua com a ransomware com a servei organització. Aquests grups ofereixen productes de ransomware a altres actors maliciosos per una tarifa. BlackByte torna ara al punt de mira després de ser utilitzat en una tàctica coneguda com 'Bring Your Own Driver'. En aquest atac, els cibercriminals estan explotant una vulnerabilitat dins del controlador d'utilitat d'overclocking de gràfics de Windows RTCore64.sys conegut com CVE-2021-16098.
MAKEUSEO VÍDEO DEL DIA
Un atac Bring Your Own Driver implica instal·lar una versió vulnerable del controlador RTCore64.sys al dispositiu de la víctima. Aleshores, l'atacant pot abusar d'aquest controlador defectuós mentre es manté sota el radar del programari de seguretat.
com fer jailbreak a iOS 11 amb l'ordinador
La nova amenaça va ser descoberta per Sophos, una coneguda empresa de ciberseguretat. En a Publicació de Sophos News , es va afirmar que la vulnerabilitat CVE-2021-16098 'permet a un usuari autenticat llegir i escriure a la memòria arbitrària, que es podria explotar per a l'escalada de privilegis, l'execució de codi amb privilegis alts o la divulgació d'informació'.
com obtenir un reembossament en un joc de vapor
Més de 1.000 controladors han estat desactivats per BlackByte
Els actors de les amenaces han aconseguit desactivar més de 1.000 controladors utilitzats pels productes de detecció i resposta de punts finals de la indústria (EDR). Tal com s'indica a la publicació de Notícies de seguretat esmentada anteriorment, aquests productes de seguretat depenen d'aquests controladors per oferir protecció a la seva clientela.
Concretament, aquestes empreses controlen l'ús de trucades a l'API que s'abusen amb freqüència, una funció que s'està aturant mitjançant aquests atacs de Bring Your Own Driver.
BlackByte ha causat problemes en el passat
Aquesta no és la primera vegada que BlackByte s'utilitza en ciberatacs. A principis de 2022, l'FBI va emetre una advertència sobre una sèrie d'atacs de ransomware BlackByte que tenien lloc a través del abús dels servidors de Microsoft Exchange . La sèrie d'explotacions va tenir lloc el desembre de 2021, en què els atacants estaven violant les xarxes corporatives mitjançant tres vulnerabilitats ProxyShell per instal·lar shells web en servidors compromesos.
Des dels atacs, s'han desenvolupat pegats per a les vulnerabilitats de ProxyShell, però això no sembla haver impedit que els operadors de BlackByte continuïn els seus atacs en altres llocs.
El ransomware continua amenaçant les persones i les empreses per igual
El ransomware té la capacitat de causar grans pèrdues, ja sigui en dades o en fons financers. Aquest tipus de ciberatac és ara tan popular que es pot comprar a través de proveïdors de serveis il·lícits, la qual cosa ofereix als actors encara més maliciosos la possibilitat d'explotar les víctimes. No se sap si els operadors de BlackByte continuaran causant problemes en el futur, però aquest atac de Windows és un exemple més de les capacitats dels programes de ransomware.
com aconseguir Netflix a Nintendo Switch