Af Eskil Sørensen, 17/10/22
Ransomwaregruppen BlackByte er begyndt at bruge en ny teknik til at lægge endnu større pres på sine ofrene.
Det skriver ZDNet på baggrund af en rapport fra Sophos, hvori det beskrives, hvordan den nye teknik gør det muligt at omgå forskellige sikkerhedsprodukter.
Det sker ved udnyttelse af en sårbarhed i mere end 1.000 drivere, der bruges i antivirussoftware.
Gammel sårbarhed
Teknikken er blevet set blive brugt i angreb fra BlackByte ransomware-banden, der tilsyneladende bruger en relativt gammel sårbarhed i RTCorec64.sys, som er en grafikværktøjsdriver til Windows-systemer. Sårbarheden har id’et CVE-2019-16098 og en score på 7,8.
Ved at udnytte sårbarheden kan angribere læse og skrive til vilkårlig hukommelse, hvilket kan udnyttes til eskalering af privilegier, afvikling af kode eller adgang til information. Det kræver dog adgang til en godkendt brugerkonto.
Researcherne kalder det ’Bring Your Own Driver’, fordi det tillader angribere at omgå mere end 1.000 drivere, der bruges af EDR-produkter (Endpoint Detection and Response) – antivirussoftware.
Med dette kan trusselsaktører kommunikere direkte med det angrebne systems kerne og diktere slukning af processer, der bruges i antivirussoftware og ETW (Event Tracing til Windows).
Opdater eller bloker
Sophos siger til ZDNet, at det efterlader resten af systemet ekstremt sårbart. Og fordi ETW bruges af så mange forskellige udbydere, er BlackBytes potentielle mål ’enormt’.
For at hjælpe med at beskytte mod Bring Your Own Driver-angreb, anbefaler Sophos, at drivere opdateres regelmæssigt, så eventuelle kendte sårbarheder i dem kan afhjælpes. Forskere anbefaler også at blokere drivere, der er kendt for stadig at kunne udnyttes.
BlackByte er en relativt ny ransomware-gruppe, men den går efter kritisk infrastruktur og andre højprofilerede mål. Det har ført til, at FBI har udsendt en advarsel om gruppen.
Links:
https://news.sophos.com/en-us/2022/10/04/blackbyte-ransomware-returns/