Пропуск в сигурността е позволил на a ransomware банда за ефективно предотвратяване на правилното функциониране на антивирусни програми в системата.
Като съобщава Bleeping Computer, групата BlackByte рансъмуер използва новооткрит метод, свързан с драйвера RTCore64.sys, за да заобиколи повече от 1000 легитимни драйвера.
Следователно програмите за сигурност, които разчитат на такива драйвери, не са в състояние да открият пробив, като самата техника е обозначена като „Донесете свой собствен драйвер“ от изследователите.
Свързани
- Хакерите разполагат с нов начин за принудително плащане на ransomware
- Хакерите използват коварен нов трик, за да заразят вашите устройства
- Не, 1Password не е хакнат – ето какво наистина се случи
След като драйверите бъдат изключени от хакерите, те могат да работят под радара поради липсата на откриване и реакция на множество крайни точки (EDR). Уязвимите драйвери могат да преминат проверка чрез валиден сертификат и също така разполагат с високи привилегии на самия компютър.
Препоръчани видеоклипове
Изследователи от компанията за киберсигурност Sophos детайл как графичният драйвер на MSI, който е насочен от рансъмуер бандата, предлага I/O контролни кодове, които могат да бъдат достъпни чрез процеси в потребителски режим. Този елемент обаче нарушава указанията за сигурност на Microsoft относно достъпа до паметта на ядрото.
Благодарение на експлойта участниците в заплахата могат свободно да четат, пишат или изпълняват код в паметта на ядрото на системата.
BlackByte естествено се стреми да избегне откриването си, за да не бъдат анализирани хаковете му от изследователи, Sophos заяви - компанията посочи към нападателите, които търсят всички програми за отстраняване на грешки, работещи в системата, и след това се отказват.
Освен това злонамереният софтуер на групата сканира системата за всякакви потенциални закачащи DLL файлове, свързани с Avast, Sandboxie, Windows DbgHelp Library и Comodo Internet Security. Ако някой бъде намерен от търсенето, BlackByte деактивира способността му да функционира.
Поради сложния характер на техниката, използвана от заплахите, Sophos предупреди, че ще продължат да експлоатират легитимни драйвери, за да заобиколят продуктите за сигурност. Преди това методът „Донесете свой собствен драйвер“ беше използван от севернокорейската хакерска група Lazarus, която включваше хардуерен драйвер на Dell.
Bleeping Computer подчертава как системните администратори могат да защитят компютрите си, като поставят MSI драйвера (RTCore64.sys), който е насочен, в активен списък за блокиране.
Усилията на BlackByte за рансъмуер за първи път станаха известни през 2021 г., като ФБР подчерта, че хакерската група стои зад определени кибератаки срещу правителството.
Препоръки на редакторите
- Атаките на рансъмуер се увеличиха значително. Ето как да сте в безопасност
- Хакерите може да са откраднали главния ключ на друг мениджър на пароли
- Microsoft току-що ви даде нов начин да се предпазите от вируси
- Този основен бъг на Apple може да позволи на хакерите да откраднат вашите снимки и да изтрият устройството ви
- Хакерите падат до ново дъно, като крадат акаунти в Discord при атаки на ransomware
Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.
