De BlackByte-ransomwarestam wordt door kwaadwillende actoren gebruikt om legitieme servers te misbruiken via een techniek die bekend staat als "Bring Your Own Driver".
BlackByte Ransomware gebruikt om beveiligingslagen te omzeilen
BlackByte ransomware is in gebruik sinds 2021 en fungeert als een ransomware-as-a-service organisatie. Deze groepen bieden tegen betaling ransomware-producten aan andere kwaadwillende actoren aan. BlackByte staat nu weer in de schijnwerpers na te zijn gebruikt in een tactiek die bekend staat als "Bring Your Own Driver". Bij deze aanval maken cybercriminelen misbruik van een kwetsbaarheid in het RTCore64.sys Windows grafische overklokhulpprogramma, bekend als CVE-2021-16098.
Bij een Bring Your Own Driver-aanval wordt een kwetsbare versie van het RTCore64.sys-stuurprogramma op het apparaat van een slachtoffer geïnstalleerd. De aanvaller kan deze gebrekkige driver vervolgens misbruiken en tegelijkertijd onder de radar van beveiligingssoftware blijven.
De nieuwe dreiging werd ontdekt door Sophos, een bekend cyberbeveiligingsbedrijf. In een
Sophos Nieuwsbericht, werd gesteld dat de kwetsbaarheid CVE-2021-16098 "een geverifieerde gebruiker in staat stelt om te lezen en te schrijven naar willekeurige geheugen, dat kan worden misbruikt voor privilege-escalatie, code-uitvoering onder hoge privileges of informatie openbaring".Meer dan 1.000 stuurprogramma's zijn uitgeschakeld door BlackByte
Bedreigingsactoren zijn erin geslaagd om meer dan 1.000 stuurprogramma's uit te schakelen die worden gebruikt door endpoint-detectie- en responsproducten (EDR) in de industrie. Zoals vermeld in het eerder genoemde Security News-bericht, vertrouwen dergelijke beveiligingsproducten op deze stuurprogramma's om hun klanten te beschermen.
Deze bedrijven houden met name toezicht op het gebruik van vaak misbruikte API-aanroepen, een functie die wordt stopgezet via deze Bring Your Own Driver-aanvallen.
BlackByte heeft in het verleden problemen veroorzaakt
Dit is niet de eerste keer dat BlackByte wordt gebruikt bij cyberaanvallen. Begin 2022 waarschuwde de FBI voor een reeks BlackByte-ransomware-aanvallen via de misbruik van Microsoft Exchange-servers. De reeks exploits vond plaats in december 2021, waarbij aanvallers bedrijfsnetwerken binnendrongen met behulp van drie ProxyShell-kwetsbaarheden om webshells op gecompromitteerde servers te installeren.
Sinds de aanvallen zijn er patches ontwikkeld voor de ProxyShell-kwetsbaarheden, maar dit lijkt BlackByte-operators er niet van te hebben weerhouden hun aanvallen elders voort te zetten.
Ransomware blijft zowel individuen als bedrijven bedreigen
Ransomware heeft de mogelijkheid om enorme verliezen te veroorzaken, of het nu gaat om gegevens of financiële holdings. Dit type cyberaanval is nu zo populair dat het kan worden gekocht via illegale dienstverleners, waardoor nog meer kwaadwillende actoren de mogelijkheid krijgen om slachtoffers uit te buiten. Het is niet bekend of BlackByte-operators in de toekomst problemen zullen blijven veroorzaken, maar deze Windows-aanval is een ander voorbeeld van de mogelijkheden van ransomware-programma's.
