BlackByte 勒索软件滥用合法驱动程序来禁用安全措施

威胁参与者正在使用 BlackByte 勒索软件滥用合法服务器并绕过安全层。

恶意行为者正在使用 BlackByte 勒索软件，通过一种称为“自带驱动程序”的技术滥用合法服务器。

BlackByte 勒索软件用于绕过安全层

BlackByte 勒索软件自 2021 年以来一直在使用，并充当勒索软件即服务组织。 这些团体有偿向其他恶意行为者提供勒索软件产品。 BlackByte 在被用于一种被称为“自带驱动程序”的策略之后，现在又回到了聚光灯下。 在这次攻击中，网络犯罪分子正在利用 RTCore64.sys Windows 图形超频实用程序驱动程序中的一个漏洞，称为 CVE-2021-16098。

自带驱动程序攻击涉及将易受攻击的 RTCore64.sys 驱动程序版本安装到受害者的设备上。 然后，攻击者可以滥用这个有缺陷的驱动程序，同时也不受安全软件的监视。

新的威胁是由著名的网络安全公司 Sophos 发现的。 在 Sophos News 的一篇文章中，指出 CVE-2021-16098 漏洞“允许经过身份验证的用户读取和写入任意内存，这可能被用于提升权限、在高权限下执行代码或信息泄露”。

BlackByte 已禁用 1,000 多个驱动程序

威胁参与者已成功禁用行业端点检测和响应 (EDR) 产品使用的 1,000 多个驱动程序。 正如前面提到的安全新闻帖子中所述，此类安全产品依靠这些驱动程序为其客户提供保护。

具体来说，这些公司会监控经常滥用的 API 调用的使用情况，该功能正在通过这些自带驱动程序攻击而停止。

BlackByte 过去曾引起过问题

这不是 BlackByte 第一次被用于网络攻击。 2022 年初，FBI 发出警告，称通过滥用 Microsoft交易所 服务器发生一系列 BlackByte 勒索软件攻击。 这一系列攻击发生在 2021 年 12 月，其中攻击者使用三个 ProxyShell 漏洞来破坏公司网络，以便在受感染的服务器上安装 Web Shell。

自攻击以来，已经为 ProxyShell 漏洞开发了补丁，但这似乎并没有阻止 BlackByte 运营商在其他地方继续攻击。

勒索软件继续威胁个人和公司

勒索软件有能力造成巨大的损失，无论是数据还是金融资产​​。 这种类型的网络攻击现在非常流行，可以通过非法服务提供商购买，让更多的恶意行为者能够利用受害者。 不知道 BlackByte 运营商是否会在未来继续造成问题，但这次 Windows 攻击是勒索软件程序能力的另一个例子。