BlackByte 勒索软件滥用合法驱动程序来禁用安全措施
威胁参与者正在使用 BlackByte 勒索软件滥用合法服务器并绕过安全层。
恶意行为者正在使用 BlackByte 勒索软件,通过一种称为“自带驱动程序”的技术滥用合法服务器。
BlackByte 勒索软件用于绕过安全层
BlackByte 勒索软件自 2021 年以来一直在使用,并充当勒索软件即服务组织。 这些团体有偿向其他恶意行为者提供勒索软件产品。 BlackByte 在被用于一种被称为“自带驱动程序”的策略之后,现在又回到了聚光灯下。 在这次攻击中,网络犯罪分子正在利用 RTCore64.sys Windows 图形超频实用程序驱动程序中的一个漏洞,称为 CVE-2021-16098。
自带驱动程序攻击涉及将易受攻击的 RTCore64.sys 驱动程序版本安装到受害者的设备上。 然后,攻击者可以滥用这个有缺陷的驱动程序,同时也不受安全软件的监视。
新的威胁是由著名的网络安全公司 Sophos 发现的。 在 Sophos News 的一篇文章中,指出 CVE-2021-16098 漏洞“允许经过身份验证的用户读取和写入任意内存,这可能被用于提升权限、在高权限下执行代码或信息泄露”。
BlackByte 已禁用 1,000 多个驱动程序
威胁参与者已成功禁用行业端点检测和响应 (EDR) 产品使用的 1,000 多个驱动程序。 正如前面提到的安全新闻帖子中所述,此类安全产品依靠这些驱动程序为其客户提供保护。
具体来说,这些公司会监控经常滥用的 API 调用的使用情况,该功能正在通过这些自带驱动程序攻击而停止。
BlackByte 过去曾引起过问题
这不是 BlackByte 第一次被用于网络攻击。 2022 年初,FBI 发出警告,称通过滥用 Microsoft交易所 服务器发生一系列 BlackByte 勒索软件攻击。 这一系列攻击发生在 2021 年 12 月,其中攻击者使用三个 ProxyShell 漏洞来破坏公司网络,以便在受感染的服务器上安装 Web Shell。
自攻击以来,已经为 ProxyShell 漏洞开发了补丁,但这似乎并没有阻止 BlackByte 运营商在其他地方继续攻击。
勒索软件继续威胁个人和公司
勒索软件有能力造成巨大的损失,无论是数据还是金融资产。 这种类型的网络攻击现在非常流行,可以通过非法服务提供商购买,让更多的恶意行为者能够利用受害者。 不知道 BlackByte 运营商是否会在未来继续造成问题,但这次 Windows 攻击是勒索软件程序能力的另一个例子。