Изследователи на киберсигурността разказват подробно как една банда за рансъмуер е започнала да използва нова техника, за да подпомогне атаките с изнудване
Голяма банда за рансъмуер използва нова техника, която позволява на хакерите да заобиколят откриването от продукти за сигурност, като използват уязвимост в повече от 1000 драйвера, използвани в антивирусния софтуер.
Техниката е описана подробно от изследователи на киберсигурността в Sophos, които са я видели да се използва при атаки от бандата BlackByte.
BlackByte е сравнително нова операция за рансъмуер, но поредица от атаки срещу критична инфраструктура и други високопрофилни цели доведоха до това ФБР да издаде предупреждение за групата.
Сега групата BlackByte очевидно използва CVE-2019-16098, уязвимост в RTCorec64.sys, помощен графичен драйвер за Windows системи. Този драйвер се използва законно за овърклок, като предоставя разширен контрол върху графичната карта.
Въпреки това, използвайки уязвимостта, нападателите, които са получили достъп до удостоверен потребителски акаунт, който може да чете и пише в произволна памет, което може да бъде използвано за ескалация на привилегии, изпълнение на код или достъп до информация.
Изследователите описват това като „Донесете свой собствен драйвер“. Когато се злоупотребява, той позволява на атакуващите да заобиколят повече от 1000 драйвера, използвани от продуктите за откриване и реагиране на крайни точки в индустрията (EDR).
Тази тактика се използва чрез използване на уязвимостта, за да се комуникира директно с ядрото на целевата система и да му се каже да изключи рутинните процедури, използвани в антивирусния софтуер, както и ETW (Проследяване на събития за Windows).
„Ако мислите за компютрите като за крепост, за много доставчици на EDR, ETW е стражът на предната врата. Ако охраната падне, това оставя останалата част от системата изключително уязвима. И тъй като ETW се използва от толкова много различни доставчици, наборът от потенциални цели на BlackByte за внедряване на този EDR байпас е огромен“, каза Кристофър Бъд, старши мениджър за изследване на заплахи в Sophos.
Чрез злоупотреба с тази уязвимост BlackByte може да получи привилегиите, необходими за тих достъп до системите, преди да задейства атака на ransomware и да поиска плащане на откуп за ключа за дешифриране. Подобно на много други групи за рансъмуер, BlackByte също краде данни от жертвите и заплашва да ги пусне в интернет, ако исканията им не бъдат изпълнени.
За да се предпазите от атаки от типа Bring Your Own Driver, Sophos препоръчва драйверите да се актуализират редовно, така че всички известни уязвимости в тях да са отстранени. Изследователите също така препоръчват блокиране на драйвери, за които е известно, че все още могат да се използват за лоши цели.
„За защитниците е изключително важно да наблюдават новите техники за укриване и експлоатация и да прилагат смекчаващи мерки, преди тези техники да станат широко достъпни на сцената на киберпрестъпността“, каза Бъд.
Рансъмуерът продължава да бъде един от най-големите проблеми с киберсигурността, пред които са изправени организациите днес. Допълнителните стъпки, които организациите могат да предприемат, за да се предпазят от рансъмуер и други злонамерени атаки, включват навременно прилагане на корекции за сигурност и актуализации, както и предоставяне на многофакторно удостоверяване на потребителите.
Те могат да помогнат за предотвратяване на достъпа на киберпрестъпниците до мрежата на първо място.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.