Търсене
Close this search box.

Подла ransomware атака изключва софтуера за сигурност

Изследователи на киберсигурността разказват подробно как една банда за рансъмуер е започнала да използва нова техника, за да подпомогне атаките с изнудване 

Голяма банда за рансъмуер използва нова техника, която позволява на хакерите да заобиколят откриването от продукти за сигурност, като използват уязвимост в повече от 1000 драйвера, използвани в антивирусния софтуер.

Техниката е описана подробно от изследователи на киберсигурността в Sophos, които са я видели да се използва при атаки от бандата BlackByte.

BlackByte е сравнително нова операция за рансъмуер, но поредица от атаки срещу критична инфраструктура и други високопрофилни цели доведоха до това ФБР да издаде предупреждение за групата.

Сега групата  BlackByte очевидно използва CVE-2019-16098, уязвимост в RTCorec64.sys, помощен графичен драйвер за Windows системи. Този драйвер се използва законно за овърклок, като предоставя разширен контрол върху графичната карта.

Въпреки това, използвайки уязвимостта, нападателите, които са получили достъп до удостоверен потребителски акаунт, който може да чете и пише в произволна памет, което може да бъде използвано за ескалация на привилегии, изпълнение на код или достъп до информация.

Изследователите описват това като „Донесете свой собствен драйвер“. Когато се злоупотребява, той позволява на атакуващите да заобиколят повече от 1000 драйвера, използвани от продуктите за откриване и реагиране на крайни точки в индустрията (EDR).

Тази тактика се използва чрез използване на уязвимостта, за да се комуникира директно с ядрото на целевата система и да му се каже да изключи рутинните процедури, използвани в антивирусния софтуер, както и ETW (Проследяване на събития за Windows).

„Ако мислите за компютрите като за крепост, за много доставчици на EDR, ETW е стражът на предната врата. Ако охраната падне, това оставя останалата част от системата изключително уязвима. И тъй като ETW се използва от толкова много различни доставчици, наборът от потенциални цели на BlackByte за внедряване на този EDR байпас е огромен“, каза Кристофър Бъд, старши мениджър за изследване на заплахи в Sophos.

Чрез злоупотреба с тази уязвимост BlackByte може да получи привилегиите, необходими за тих достъп до системите, преди да задейства атака на ransomware и да поиска плащане на откуп за ключа за дешифриране. Подобно на много други групи за рансъмуер, BlackByte също краде данни от жертвите и заплашва да ги пусне в интернет, ако исканията им не бъдат изпълнени.

За да се предпазите от атаки от типа Bring Your Own Driver, Sophos препоръчва драйверите да се актуализират редовно, така че всички известни уязвимости в тях да са отстранени. Изследователите също така препоръчват блокиране на драйвери, за които е известно, че все още могат да се използват за лоши цели.

„За защитниците е изключително важно да наблюдават новите техники за укриване и експлоатация и да прилагат смекчаващи мерки, преди тези техники да станат широко достъпни на сцената на киберпрестъпността“, каза Бъд.

Рансъмуерът продължава да бъде един от най-големите проблеми с киберсигурността, пред които са изправени организациите днес. Допълнителните стъпки, които организациите могат да предприемат, за да се предпазят от рансъмуер и други злонамерени атаки, включват навременно прилагане на корекции за сигурност и актуализации, както и предоставяне на многофакторно удостоверяване на потребителите.

Те могат да помогнат за предотвратяване на достъпа на киберпрестъпниците до мрежата на първо място.

Източник: По материали от Интернет

Подобни публикации

25 юли 2024

Съвети как да поддържате киберсигурността на би...

Ръководството на цифровото поведение на служителите е от ключово зн...
24 юли 2024

ACLU се бори за конституционното ви право да пр...

Събуждате се в деня на изборите и отключвате телефона си, за да вид...
24 юли 2024

CrowdStrike обяснява защо лошата актуализация н...

Днес CrowdStrike сподели информация от предварителния си преглед сл...
24 юли 2024

57 000 пациенти, засегнати от нарушение на сигу...

Michigan Medicine (Мичиган Медисин) , академичният медицински центъ...
24 юли 2024

Китайските хакери разполагат с нова версия на M...

Китайската хакерска група, проследена като „Evasive PandaR...
24 юли 2024

Юлските актуализации за сигурност на Windows из...

Microsoft предупреди, че след инсталирането на актуализациите за си...

NIS 2: Въвеждане на по-строго управление на киб...

Новата директива на ЕС NIS 2 вдига летвата за киберсигурност, особе...

Грешки в киберсигурността на крайните потребите...

В днешните забързани организации крайните потребители понякога се о...
Бъдете социални
Още по темата
23/07/2024

Арестуваха тийнейджър за вр...

Властите възнамеряват да изпратят послание на...
20/07/2024

Akira Ransomware: Светкавич...

Изнудвачите от Akira вече са способни...
19/07/2024

Още руснаци се признават за...

Двама руснаци признаха, че са участвали...
Последно добавени
25/07/2024

Съвети как да поддържате ки...

Ръководството на цифровото поведение на служителите...
24/07/2024

ACLU се бори за конституцио...

Събуждате се в деня на изборите...
24/07/2024

CrowdStrike обяснява защо л...

Днес CrowdStrike сподели информация от предварителния...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!