Pahatahtlikud osalejad kasutavad BlackByte'i lunavaratüve legitiimsete serverite kuritarvitamiseks tehnikaga, mida tuntakse kui "too oma draiverit".
BlackByte'i lunavara, mida kasutatakse turvakihtidest möödahiilimiseks
BlackByte'i lunavara on olnud kasutusel alates 2021. aastast ja toimib a lunavara-teenusena organisatsioon. Need rühmad pakuvad lunavaratooteid teistele pahatahtlikele osalejatele tasu eest. BlackByte on nüüd taas tähelepanu keskpunktis pärast seda, kui seda on kasutatud taktikas, mida tuntakse kui "Too oma draiver". Selle rünnaku käigus kasutavad küberkurjategijad turvaauku RTCore64.sys Windowsi graafika kiirendamise utiliidi draiveris, mida tuntakse kui CVE-2021-16098.
Rünnak Bring Your Own Driver hõlmab RTCore64.sys draiveri haavatava versiooni installimist ohvri seadmesse. Ründaja võib seejärel seda vigast draiverit kuritarvitada, jäädes samal ajal turvatarkvara radari alla.
Uue ohu avastas tuntud küberjulgeolekufirma Sophos. Sees Sophose uudiste postitus, öeldi, et haavatavus CVE-2021-16098 "võimaldab autentitud kasutajal lugeda ja kirjutada suvalisele mälu, mida saab kasutada privileegide suurendamiseks, kõrgete privileegidega koodi käivitamiseks või teabe saamiseks avalikustamine".
BlackByte on keelanud üle 1000 draiveri
Ohutegijatel on õnnestunud keelata üle 1000 draiveri, mida tööstuse lõpp-punkti tuvastamise ja reageerimise (EDR) tooted kasutavad. Nagu ülalmainitud turvauudiste postituses öeldud, tuginevad sellised turbetooted nendele draiveritele, et pakkuda oma klientidele kaitset.
Täpsemalt jälgivad need ettevõtted sageli kuritarvitatud API-kõnede kasutamist – funktsiooni, mis peatatakse nende Bring Your Own Driver rünnakute kaudu.
BlackByte on minevikus probleeme tekitanud
See pole esimene kord, kui BlackByte'i küberrünnakutes kasutatakse. 2022. aasta alguses andis FBI välja hoiatuse BlackByte'i lunavararünnakute jada kohta, mis toimuvad Microsoft Exchange'i serverite kuritarvitamine. Seeria ärakasutamist leidis aset 2021. aasta detsembris, kus ründajad rikkusid ettevõtte võrke, kasutades kolme ProxyShelli haavatavust, et installida ohustatud serveritesse veebikestad.
Rünnakutest saadik on ProxyShelli haavatavuste jaoks välja töötatud plaastreid, kuid see ei paista olevat takistanud BlackByte'i operaatoreid mujal oma rünnakuid jätkamast.
Lunavara ähvardab jätkuvalt nii üksikisikuid kui ka ettevõtteid
Ransomware on võimeline tekitama suuri kahjusid, olgu see siis andmete või finantsvarade osas. Seda tüüpi küberrünnakud on nüüd nii populaarsed, et neid saab osta ebaseaduslike teenusepakkujate kaudu, mis annab veelgi rohkematele pahatahtlikele osalejatele võimaluse ohvreid ära kasutada. Pole teada, kas BlackByte’i operaatorid ka tulevikus probleeme tekitavad, kuid see Windowsi rünnak on järjekordne näide lunavaraprogrammide võimekusest.
