„BlackByte“ išpirkos reikalaujančią programinę įrangą naudoja kenkėjiški veikėjai, norėdami piktnaudžiauti teisėtais serveriais, naudodami techniką, vadinamą „Atnešk savo tvarkyklę“.
BlackByte Ransomware, naudojama apeiti saugos sluoksnius
„BlackByte“ išpirkos reikalaujanti programa naudojama nuo 2021 m. ir veikia kaip a ransomware-as-a-service organizacija. Šios grupės už atlygį siūlo išpirkos reikalaujančius produktus kitiems kenkėjiškiems veikėjams. „BlackByte“ dabar vėl yra dėmesio centre, kai buvo naudojamas taktikoje, vadinamoje „Pasinešk savo tvarkyklę“. Šios atakos metu kibernetiniai nusikaltėliai naudojasi RTCore64.sys Windows grafikos įsijungimo programos tvarkyklės, žinomos kaip CVE-2021-16098, pažeidžiamumu.
„Bring Your Own Driver“ ataka apima pažeidžiamos RTCore64.sys tvarkyklės versijos įdiegimą aukos įrenginyje. Tada užpuolikas gali piktnaudžiauti šia ydinga tvarkykle ir likti po saugos programinės įrangos radaru.
Naują grėsmę atrado gerai žinoma kibernetinio saugumo įmonė „Sophos“. A
„Sophos News“ įrašas, buvo teigiama, kad CVE-2021-16098 pažeidžiamumas „leidžia autentifikuotam vartotojui savavališkai skaityti ir rašyti atmintis, kurią būtų galima išnaudoti privilegijų eskalavimui, kodo vykdymui su didelėmis privilegijomis arba informacijai atskleidimas“.„BlackByte“ išjungė daugiau nei 1000 tvarkyklių
Grėsmės subjektams pavyko išjungti daugiau nei 1 000 tvarkyklių, naudojamų pramonės galutinio punkto aptikimo ir atsako (EDR) produktuose. Kaip teigiama pirmiau minėtame saugumo naujienų įraše, tokie saugos produktai priklauso nuo šių tvarkyklių, kad užtikrintų savo klientų apsaugą.
Konkrečiai, šios įmonės stebi dažnai piktnaudžiaujamų API iškvietimų naudojimą – funkciją, kuri sustabdoma dėl šių „Bring Your Own Driver“ atakų.
„BlackByte“ praeityje sukėlė problemų
Tai ne pirmas kartas, kai „BlackByte“ naudojamas kibernetinėms atakoms. 2022 m. pradžioje FTB paskelbė įspėjimą apie virtinę BlackByte išpirkos reikalaujančių atakų, vykstančių per piktnaudžiavimas „Microsoft Exchange“ serveriais. Išnaudojimų serija įvyko 2021 m. gruodžio mėn., kai užpuolikai įsilaužė į įmonių tinklus naudodami tris „ProxyShell“ spragas, kad įdiegtų žiniatinklio apvalkalus pažeistuose serveriuose.
Nuo atakų buvo sukurtos pataisos, skirtos „ProxyShell“ pažeidžiamumui, tačiau panašu, kad tai nesutrukdė „BlackByte“ operatoriams tęsti atakas kitur.
Ransomware ir toliau kelia grėsmę asmenims ir įmonėms
Ransomware gali sukelti didelių nuostolių, nesvarbu, ar tai būtų duomenų, ar finansinių išteklių. Tokio tipo kibernetinės atakos dabar yra tokios populiarios, kad jas galima įsigyti per neteisėtų paslaugų teikėjus, todėl dar daugiau piktavališkų veikėjų gali išnaudoti aukas. Nežinia, ar „BlackByte“ operatoriai ir toliau kels problemų ateityje, tačiau ši „Windows“ ataka yra dar vienas išpirkos reikalaujančių programų galimybių pavyzdys.
