BlackByte Ransomware abusa de los controladores legítimos para deshabilitar las medidas de seguridad

BlackByte Ransomware abusa de los controladores legítimos para deshabilitar las medidas de seguridad

La cepa de ransomware BlackByte está siendo utilizada por actores maliciosos para abusar de servidores legítimos a través de una técnica conocida como 'Bring Your Own Driver'.





BlackByte Ransomware utilizado para eludir las capas de seguridad

El ransomware BlackByte ha estado en uso desde 2021 y actúa como un ransomware como servicio organización. Estos grupos ofrecen productos de ransomware a otros actores malintencionados a cambio de una tarifa. BlackByte ahora vuelve a ser el centro de atención después de haber sido utilizado en una táctica conocida como 'Trae tu propio conductor'. En este ataque, los ciberdelincuentes están explotando una vulnerabilidad dentro del controlador de utilidad de overclocking de gráficos de Windows RTCore64.sys conocido como CVE-2021-16098.





MAKEUSEOF VÍDEO DEL DÍA

Un ataque Bring Your Own Driver consiste en instalar una versión vulnerable del controlador RTCore64.sys en el dispositivo de la víctima. El atacante puede entonces abusar de este controlador defectuoso mientras permanece fuera del radar del software de seguridad.





¿Cómo funciona el timbre de la puerta?

La nueva amenaza fue descubierta por Sophos, una conocida firma de ciberseguridad. en un Publicación de noticias de Sophos , se afirmó que la vulnerabilidad CVE-2021-16098 'permite que un usuario autenticado lea y escriba en una memoria arbitraria, lo que podría explotarse para la escalada de privilegios, la ejecución de código con privilegios elevados o la divulgación de información'.

BlackByte ha desactivado más de 1000 controladores

 gráfico de candado con calavera envuelta en cadenas

Los actores de amenazas han logrado deshabilitar más de 1,000 controladores utilizados por los productos de detección y respuesta de punto final (EDR) de la industria. Como se indica en la publicación Security News antes mencionada, dichos productos de seguridad dependen de estos controladores para brindar protección a su clientela.



aplicaciones de raspberry pi a la vida real

Específicamente, estas compañías monitorean el uso de llamadas API de las que se abusa con frecuencia, una función que se detiene a través de estos ataques Bring Your Own Driver.

BlackByte ha causado problemas en el pasado

Esta no es la primera vez que BlackByte se utiliza en ciberataques. A principios de 2022, el FBI emitió una advertencia sobre una serie de ataques de ransomware BlackByte a través del abuso de los servidores de Microsoft Exchange . La serie de exploits tuvo lugar en diciembre de 2021, en la que los atacantes violaron las redes corporativas utilizando tres vulnerabilidades de ProxyShell para instalar shells web en servidores comprometidos.





Desde los ataques, se han desarrollado parches para las vulnerabilidades de ProxyShell, pero esto no parece haber impedido que los operadores de BlackByte continúen con sus ataques en otros lugares.

Ransomware continúa amenazando a individuos y empresas por igual

El ransomware tiene la capacidad de causar grandes pérdidas, ya sea en datos o en activos financieros. Este tipo de ataque cibernético ahora es tan popular que se puede comprar a través de proveedores de servicios ilícitos, lo que brinda a los actores aún más maliciosos la capacidad de explotar a las víctimas. No se sabe si los operadores de BlackByte seguirán causando problemas en el futuro, pero este ataque a Windows es otro ejemplo de las capacidades de los programas de ransomware.





2 aplicaciones de reproductor en dispositivos separados