Blackyte Ransomware lạm dụng các trình điều khiển hợp pháp để vô hiệu hóa các biện pháp bảo mật
Các tác nhân đe dọa đang sử dụng phần mềm tống tiền Blackyte để lạm dụng các máy chủ hợp pháp và vượt qua các lớp bảo mật.
Dòng ransomware Blackyte đang được sử dụng bởi những kẻ độc hại để lạm dụng các máy chủ hợp pháp thông qua một kỹ thuật được gọi là “Mang trình điều khiển của riêng bạn”.
Mục Lục
Blackyte Ransomware được sử dụng để vượt qua các lớp bảo mật
Blackyte ransomware đã được sử dụng từ năm 2021 và hoạt động như một tổ chức cung cấp dịch vụ ransomware. Các nhóm này cung cấp các sản phẩm ransomware cho những kẻ độc hại khác với một khoản phí. Blackyy hiện đã trở lại nổi bật sau khi được sử dụng trong một chiến thuật được gọi là “Mang theo tài xế của riêng bạn”. Trong cuộc tấn công này, tội phạm mạng đang khai thác một lỗ hổng trong trình điều khiển tiện ích ép xung đồ họa Windows RTCore64.sys được gọi là CVE-2021-16098.
Cuộc tấn công Mang trình điều khiển của riêng bạn liên quan đến việc cài đặt phiên bản dễ bị tấn công của trình điều khiển RTCore64.sys vào thiết bị của nạn nhân. Sau đó, kẻ tấn công có thể lạm dụng trình điều khiển thiếu sót này trong khi vẫn nằm trong tầm ngắm của phần mềm bảo mật.
Mối đe dọa mới được phát hiện bởi Sophos, một công ty an ninh mạng nổi tiếng. Trong một bài đăng trên Sophos News, lỗ hổng CVE-2021-16098 “cho phép người dùng đã xác thực đọc và ghi vào bộ nhớ tùy ý, có thể bị khai thác để nâng cấp đặc quyền, thực thi mã theo đặc quyền cao hoặc tiết lộ thông tin”.
Hơn 1.000 tài xế đã bị Blackyte vô hiệu hóa
Các tác nhân đe dọa đã quản lý để vô hiệu hóa hơn 1.000 trình điều khiển được sử dụng bởi các sản phẩm phát hiện và phản hồi điểm cuối trong ngành (EDR). Như đã nêu trong bài đăng Tin tức bảo mật nói trên, các sản phẩm bảo mật như vậy dựa vào các trình điều khiển này để cung cấp bảo vệ cho nhóm khách hàng của họ.
Cụ thể, các công ty này giám sát việc sử dụng các lệnh gọi API thường xuyên bị lạm dụng, một chức năng đang bị tạm dừng thông qua các cuộc tấn công Mang theo Trình điều khiển của Chính bạn.
Blackyte đã gây ra vấn đề trong quá khứ
Đây không phải là lần đầu tiên Blackyte bị sử dụng trong các cuộc tấn công mạng. Vào đầu năm 2022, FBI đã đưa ra cảnh báo về một chuỗi các cuộc tấn công ransomware của Blackyte đang diễn ra thông qua việc lạm dụng các máy chủ Microsoft Exchange. Loạt vụ khai thác diễn ra vào tháng 12 năm 2021, trong đó những kẻ tấn công đang xâm phạm mạng công ty bằng cách sử dụng ba lỗ hổng ProxyShell để cài đặt web shell trên các máy chủ bị xâm nhập.
Kể từ khi các cuộc tấn công xảy ra, các bản vá đã được phát triển cho các lỗ hổng ProxyShell, nhưng điều này dường như không ngăn được các nhà điều hành BlackBerry tiếp tục các cuộc tấn công của họ ở những nơi khác.
Ransomware tiếp tục đe dọa các cá nhân và công ty xa lánh
Ransomware có khả năng gây ra tổn thất lớn, có thể là dữ liệu hoặc tài chính. Loại tấn công mạng này hiện nay phổ biến đến mức nó có thể được mua thông qua các nhà cung cấp dịch vụ bất hợp pháp, cho phép nhiều kẻ độc hại hơn có khả năng khai thác nạn nhân. Người ta không biết liệu các nhà điều hành BlackBerry có tiếp tục gây ra sự cố trong tương lai hay không, nhưng cuộc tấn công Windows này là một ví dụ khác về khả năng của các chương trình ransomware.