Home-theater-designers
Il ceppo ransomware BlackByte viene utilizzato da attori malintenzionati per abusare di server legittimi tramite una tecnica nota come 'Bring Your Own Driver'.
BlackByte Ransomware utilizzato per bypassare i livelli di sicurezza
BlackByte ransomware è in uso dal 2021 e funge da a ransomware come servizio organizzazione. Questi gruppi offrono prodotti ransomware ad altri malintenzionati a pagamento. BlackByte è ora di nuovo sotto i riflettori dopo essere stato utilizzato in una tattica nota come 'Bring Your Own Driver'. In questo attacco, i criminali informatici stanno sfruttando una vulnerabilità all'interno del driver dell'utilità di overclocking della grafica di Windows RTCore64.sys noto come CVE-2021-16098.
FARE USO DEL VIDEO DEL GIORNO
Un attacco Bring Your Own Driver comporta l'installazione di una versione vulnerabile del driver RTCore64.sys sul dispositivo della vittima. L'attaccante può quindi abusare di questo driver difettoso rimanendo anche sotto il radar del software di sicurezza.
La nuova minaccia è stata scoperta da Sophos, una nota azienda di sicurezza informatica. In un Post di Sophos News , è stato affermato che la vulnerabilità CVE-2021-16098 'consente a un utente autenticato di leggere e scrivere su memoria arbitraria, che potrebbe essere sfruttata per l'escalation dei privilegi, l'esecuzione di codice con privilegi elevati o la divulgazione di informazioni'.
perché non amish usa l'elettricità?
Oltre 1.000 driver sono stati disabilitati da BlackByte
Gli attori delle minacce sono riusciti a disabilitare oltre 1.000 driver utilizzati dai prodotti EDR (endpoint detection and response) del settore. Come affermato nel suddetto post di Security News, tali prodotti di sicurezza si affidano a questi driver per fornire protezione alla propria clientela.
In particolare, queste aziende monitorano l'uso di chiamate API di frequente abuso, una funzione che viene interrotta tramite questi attacchi Bring Your Own Driver.
BlackByte ha causato problemi in passato
Questa non è la prima volta che BlackByte viene utilizzato in attacchi informatici. All'inizio del 2022, l'FBI ha emesso un avviso su una serie di attacchi ransomware BlackByte avvenuti tramite il abuso dei server Microsoft Exchange . La serie di exploit ha avuto luogo nel dicembre 2021, in cui gli aggressori stavano violando le reti aziendali utilizzando tre vulnerabilità di ProxyShell per installare shell Web su server compromessi.
come caricare video hd su facebook dal desktop
Dopo gli attacchi, sono state sviluppate patch per le vulnerabilità di ProxyShell, ma ciò non sembra aver impedito agli operatori BlackByte di continuare i loro attacchi altrove.
Il ransomware continua a minacciare allo stesso modo individui e aziende
Il ransomware ha la capacità di causare enormi perdite, sia nei dati che nelle partecipazioni finanziarie. Questo tipo di attacco informatico è ora così popolare che può essere acquistato tramite fornitori di servizi illeciti, offrendo ad attori ancora più malintenzionati la possibilità di sfruttare le vittime. Non è noto se gli operatori BlackByte continueranno a causare problemi in futuro, ma questo attacco di Windows rappresenta un altro esempio delle capacità dei programmi ransomware.