Изследователи на киберсигурността разказват подробно как една банда за рансъмуер е започнала да използва нова техника, за да подпомогне атаките с изнудване 

Голяма банда за рансъмуер използва нова техника, която позволява на хакерите да заобиколят откриването от продукти за сигурност, като използват уязвимост в повече от 1000 драйвера, използвани в антивирусния софтуер.

Техниката е описана подробно от изследователи на киберсигурността в Sophos, които са я видели да се използва при атаки от бандата BlackByte.

BlackByte е сравнително нова операция за рансъмуер, но поредица от атаки срещу критична инфраструктура и други високопрофилни цели доведоха до това ФБР да издаде предупреждение за групата.

Сега групата  BlackByte очевидно използва CVE-2019-16098, уязвимост в RTCorec64.sys, помощен графичен драйвер за Windows системи. Този драйвер се използва законно за овърклок, като предоставя разширен контрол върху графичната карта.

Въпреки това, използвайки уязвимостта, нападателите, които са получили достъп до удостоверен потребителски акаунт, който може да чете и пише в произволна памет, което може да бъде използвано за ескалация на привилегии, изпълнение на код или достъп до информация.

Изследователите описват това като „Донесете свой собствен драйвер“. Когато се злоупотребява, той позволява на атакуващите да заобиколят повече от 1000 драйвера, използвани от продуктите за откриване и реагиране на крайни точки в индустрията (EDR).

Тази тактика се използва чрез използване на уязвимостта, за да се комуникира директно с ядрото на целевата система и да му се каже да изключи рутинните процедури, използвани в антивирусния софтуер, както и ETW (Проследяване на събития за Windows).

„Ако мислите за компютрите като за крепост, за много доставчици на EDR, ETW е стражът на предната врата. Ако охраната падне, това оставя останалата част от системата изключително уязвима. И тъй като ETW се използва от толкова много различни доставчици, наборът от потенциални цели на BlackByte за внедряване на този EDR байпас е огромен“, каза Кристофър Бъд, старши мениджър за изследване на заплахи в Sophos.

Чрез злоупотреба с тази уязвимост BlackByte може да получи привилегиите, необходими за тих достъп до системите, преди да задейства атака на ransomware и да поиска плащане на откуп за ключа за дешифриране. Подобно на много други групи за рансъмуер, BlackByte също краде данни от жертвите и заплашва да ги пусне в интернет, ако исканията им не бъдат изпълнени.

За да се предпазите от атаки от типа Bring Your Own Driver, Sophos препоръчва драйверите да се актуализират редовно, така че всички известни уязвимости в тях да са отстранени. Изследователите също така препоръчват блокиране на драйвери, за които е известно, че все още могат да се използват за лоши цели.

„За защитниците е изключително важно да наблюдават новите техники за укриване и експлоатация и да прилагат смекчаващи мерки, преди тези техники да станат широко достъпни на сцената на киберпрестъпността“, каза Бъд.

Рансъмуерът продължава да бъде един от най-големите проблеми с киберсигурността, пред които са изправени организациите днес. Допълнителните стъпки, които организациите могат да предприемат, за да се предпазят от рансъмуер и други злонамерени атаки, включват навременно прилагане на корекции за сигурност и актуализации, както и предоставяне на многофакторно удостоверяване на потребителите.

Те могат да помогнат за предотвратяване на достъпа на киберпрестъпниците до мрежата на първо място.