Подла ransomware атака изключва софтуера за сигурност

Изследователи на киберсигурността разказват подробно как една банда за рансъмуер е започнала да използва нова техника, за да подпомогне атаките с изнудване 

Голяма банда за рансъмуер използва нова техника, която позволява на хакерите да заобиколят откриването от продукти за сигурност, като използват уязвимост в повече от 1000 драйвера, използвани в антивирусния софтуер.

Техниката е описана подробно от изследователи на киберсигурността в Sophos, които са я видели да се използва при атаки от бандата BlackByte.

BlackByte е сравнително нова операция за рансъмуер, но поредица от атаки срещу критична инфраструктура и други високопрофилни цели доведоха до това ФБР да издаде предупреждение за групата.

Сега групата  BlackByte очевидно използва CVE-2019-16098, уязвимост в RTCorec64.sys, помощен графичен драйвер за Windows системи. Този драйвер се използва законно за овърклок, като предоставя разширен контрол върху графичната карта.

Въпреки това, използвайки уязвимостта, нападателите, които са получили достъп до удостоверен потребителски акаунт, който може да чете и пише в произволна памет, което може да бъде използвано за ескалация на привилегии, изпълнение на код или достъп до информация.

Изследователите описват това като „Донесете свой собствен драйвер“. Когато се злоупотребява, той позволява на атакуващите да заобиколят повече от 1000 драйвера, използвани от продуктите за откриване и реагиране на крайни точки в индустрията (EDR).

Тази тактика се използва чрез използване на уязвимостта, за да се комуникира директно с ядрото на целевата система и да му се каже да изключи рутинните процедури, използвани в антивирусния софтуер, както и ETW (Проследяване на събития за Windows).

„Ако мислите за компютрите като за крепост, за много доставчици на EDR, ETW е стражът на предната врата. Ако охраната падне, това оставя останалата част от системата изключително уязвима. И тъй като ETW се използва от толкова много различни доставчици, наборът от потенциални цели на BlackByte за внедряване на този EDR байпас е огромен“, каза Кристофър Бъд, старши мениджър за изследване на заплахи в Sophos.

Чрез злоупотреба с тази уязвимост BlackByte може да получи привилегиите, необходими за тих достъп до системите, преди да задейства атака на ransomware и да поиска плащане на откуп за ключа за дешифриране. Подобно на много други групи за рансъмуер, BlackByte също краде данни от жертвите и заплашва да ги пусне в интернет, ако исканията им не бъдат изпълнени.

За да се предпазите от атаки от типа Bring Your Own Driver, Sophos препоръчва драйверите да се актуализират редовно, така че всички известни уязвимости в тях да са отстранени. Изследователите също така препоръчват блокиране на драйвери, за които е известно, че все още могат да се използват за лоши цели.

„За защитниците е изключително важно да наблюдават новите техники за укриване и експлоатация и да прилагат смекчаващи мерки, преди тези техники да станат широко достъпни на сцената на киберпрестъпността“, каза Бъд.

Рансъмуерът продължава да бъде един от най-големите проблеми с киберсигурността, пред които са изправени организациите днес. Допълнителните стъпки, които организациите могат да предприемат, за да се предпазят от рансъмуер и други злонамерени атаки, включват навременно прилагане на корекции за сигурност и актуализации, както и предоставяне на многофакторно удостоверяване на потребителите.

Те могат да помогнат за предотвратяване на достъпа на киберпрестъпниците до мрежата на първо място.

Източник: По материали от Интернет

Подобни публикации

27 септември 2023

Нов ZeroFont фишинг подвежда Outlook да показва...

Хакерите използват нов трик за използване на нулеви шрифтове в имей...
27 септември 2023

Google присвоява нов максимален рейтинг CVE на ...

Google е определила нов CVE ID (CVE-2023-5129) за уязвимостта в сиг...
27 септември 2023

Нова киберпрестъпна група е свързана със 7 фам...

Експерти по киберсигурност разкриха нова група за киберпрестъпления...
27 септември 2023

Microsoft разпространява Passkeys в Windows 11

Днес Microsoft официално въвежда поддръжка на клавишите passskeys в...
27 септември 2023

Излязоха резултатите от оценката на MITRE ATT&a...

Задълбочените, независими тестове са жизненоважен ресурс за анализи...
26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
26 септември 2023

Разликите между локалната и облачната киберсигу...

Разликата между управлението на киберсигурността в локални и облачн...
Бъдете социални
Още по темата
27/09/2023

Нова киберпрестъпна група е...

Експерти по киберсигурност разкриха нова група...
26/09/2023

Рансъмуерът Akira мутира и ...

Откакто се появи като заплаха през...
23/09/2023

Нарушението на данните на Н...

Американската образователна организация с нестопанска цел...
Последно добавени
27/09/2023

Нов ZeroFont фишинг подвежд...

Хакерите използват нов трик за използване...
27/09/2023

Google присвоява нов максим...

Google е определила нов CVE ID...
27/09/2023

Нова киберпрестъпна група е...

Експерти по киберсигурност разкриха нова група...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!