BlackByte ransomware-stammen bliver brugt af ondsindede aktører til at misbruge legitime servere via en teknik kendt som "Bring Your Own Driver".
BlackByte Ransomware bruges til at omgå sikkerhedslag
BlackByte ransomware har været i brug siden 2021 og fungerer som en ransomware-as-a-service organisation. Disse grupper tilbyder ransomware-produkter til andre ondsindede aktører mod et gebyr. BlackByte er nu tilbage i søgelyset efter at være blevet brugt i en taktik kendt som "Bring Your Own Driver". I dette angreb udnytter cyberkriminelle en sårbarhed i RTCore64.sys Windows-grafikoverclocking-driveren kendt som CVE-2021-16098.
Et Bring Your Own Driver-angreb involverer installation af en sårbar version af RTCore64.sys-driveren på et offers enhed. Angriberen kan derefter misbruge denne fejlbehæftede driver, mens han også holder sig under sikkerhedssoftwarens radar.
Den nye trussel blev opdaget af Sophos, et velkendt cybersikkerhedsfirma. I en Sophos News-indlæg, blev det anført, at CVE-2021-16098-sårbarheden "tillader en godkendt bruger at læse og skrive til vilkårlig hukommelse, som kunne udnyttes til privilegieeskalering, kodeudførelse under høje privilegier eller information afsløring".
Over 1.000 drivere er blevet deaktiveret af BlackByte
Trusselsaktører har formået at deaktivere over 1.000 drivere, der bruges af EDR-produkter (endpoint detection and response). Som nævnt i det førnævnte Security News-indlæg, er sådanne sikkerhedsprodukter afhængige af disse drivere for at yde beskyttelse til deres klientel.
Specifikt overvåger disse virksomheder brugen af ofte misbrugte API-kald, en funktion, der bliver stoppet via disse Bring Your Own Driver-angreb.
BlackByte har forårsaget problemer i fortiden
Det er ikke første gang, at BlackByte er blevet brugt i cyberangreb. I begyndelsen af 2022 udsendte FBI en advarsel om en række BlackByte ransomware-angreb, der fandt sted via misbrug af Microsoft Exchange-servere. Rækken af udnyttelser fandt sted i december 2021, hvor angribere brød virksomhedens netværk ved at bruge tre ProxyShell-sårbarheder til at installere web-shells på kompromitterede servere.
Siden angrebene er der udviklet patches til ProxyShell-sårbarhederne, men det ser ikke ud til at have forhindret BlackByte-operatører i at fortsætte deres angreb andre steder.
Ransomware fortsætter med at true både enkeltpersoner og virksomheder
Ransomware har evnen til at forårsage store tab, hvad enten det er i data eller finansielle besiddelser. Denne type cyberangreb er nu så populær, at den kan købes via ulovlige tjenesteudbydere, hvilket giver endnu flere ondsindede aktører muligheden for at udnytte ofre. Det vides ikke, om BlackByte-operatører vil fortsætte med at forårsage problemer i fremtiden, men dette Windows-angreb står som endnu et eksempel på ransomware-programmernes muligheder.