Търсене
Close this search box.

Изследователи на киберсигурността разказват подробно как една банда за рансъмуер е започнала да използва нова техника, за да подпомогне атаките с изнудване 

Голяма банда за рансъмуер използва нова техника, която позволява на хакерите да заобиколят откриването от продукти за сигурност, като използват уязвимост в повече от 1000 драйвера, използвани в антивирусния софтуер.

Техниката е описана подробно от изследователи на киберсигурността в Sophos, които са я видели да се използва при атаки от бандата BlackByte.

BlackByte е сравнително нова операция за рансъмуер, но поредица от атаки срещу критична инфраструктура и други високопрофилни цели доведоха до това ФБР да издаде предупреждение за групата.

Сега групата  BlackByte очевидно използва CVE-2019-16098, уязвимост в RTCorec64.sys, помощен графичен драйвер за Windows системи. Този драйвер се използва законно за овърклок, като предоставя разширен контрол върху графичната карта.

Въпреки това, използвайки уязвимостта, нападателите, които са получили достъп до удостоверен потребителски акаунт, който може да чете и пише в произволна памет, което може да бъде използвано за ескалация на привилегии, изпълнение на код или достъп до информация.

Изследователите описват това като „Донесете свой собствен драйвер“. Когато се злоупотребява, той позволява на атакуващите да заобиколят повече от 1000 драйвера, използвани от продуктите за откриване и реагиране на крайни точки в индустрията (EDR).

Тази тактика се използва чрез използване на уязвимостта, за да се комуникира директно с ядрото на целевата система и да му се каже да изключи рутинните процедури, използвани в антивирусния софтуер, както и ETW (Проследяване на събития за Windows).

„Ако мислите за компютрите като за крепост, за много доставчици на EDR, ETW е стражът на предната врата. Ако охраната падне, това оставя останалата част от системата изключително уязвима. И тъй като ETW се използва от толкова много различни доставчици, наборът от потенциални цели на BlackByte за внедряване на този EDR байпас е огромен“, каза Кристофър Бъд, старши мениджър за изследване на заплахи в Sophos.

Чрез злоупотреба с тази уязвимост BlackByte може да получи привилегиите, необходими за тих достъп до системите, преди да задейства атака на ransomware и да поиска плащане на откуп за ключа за дешифриране. Подобно на много други групи за рансъмуер, BlackByte също краде данни от жертвите и заплашва да ги пусне в интернет, ако исканията им не бъдат изпълнени.

За да се предпазите от атаки от типа Bring Your Own Driver, Sophos препоръчва драйверите да се актуализират редовно, така че всички известни уязвимости в тях да са отстранени. Изследователите също така препоръчват блокиране на драйвери, за които е известно, че все още могат да се използват за лоши цели.

„За защитниците е изключително важно да наблюдават новите техники за укриване и експлоатация и да прилагат смекчаващи мерки, преди тези техники да станат широко достъпни на сцената на киберпрестъпността“, каза Бъд.

Рансъмуерът продължава да бъде един от най-големите проблеми с киберсигурността, пред които са изправени организациите днес. Допълнителните стъпки, които организациите могат да предприемат, за да се предпазят от рансъмуер и други злонамерени атаки, включват навременно прилагане на корекции за сигурност и актуализации, както и предоставяне на многофакторно удостоверяване на потребителите.

Те могат да помогнат за предотвратяване на достъпа на киберпрестъпниците до мрежата на първо място.

Източник: По материали от Интернет

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
Бъдете социални
Още по темата
10/12/2024

Deloitte опроверга рансъмуе...

Deloitte направи изявление в отговор на...
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
04/12/2024

Производителят на водки Sto...

Компаниите на Stoli Group в САЩ...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!