Ένα ελάττωμα ασφαλείας επέτρεψε α ransomware συμμορία για να εμποδίσει αποτελεσματικά τα προγράμματα προστασίας από ιούς να εκτελούνται σωστά σε ένα σύστημα.
Οπως και αναφέρθηκε από το Bleeping Computer, η ομάδα ransomware BlackByte χρησιμοποιεί μια πρόσφατα ανακαλυφθείσα μέθοδο που σχετίζεται με το πρόγραμμα οδήγησης RTCore64.sys για να παρακάμψει περισσότερα από 1.000 νόμιμα προγράμματα οδήγησης.
Επομένως, τα προγράμματα ασφαλείας που βασίζονται σε τέτοιους οδηγούς δεν είναι σε θέση να ανιχνεύσουν μια παραβίαση, με την ίδια την τεχνική να χαρακτηρίζεται από τους ερευνητές ως «Φέρτε το δικό σας πρόγραμμα οδήγησης».
Σχετίζεται με
- Οι χάκερ έχουν έναν νέο τρόπο να επιβάλλουν πληρωμές ransomware
- Οι χάκερ χρησιμοποιούν ένα ύπουλο νέο τέχνασμα για να μολύνουν τις συσκευές σας
- Όχι, το 1Password δεν παραβιάστηκε - εδώ είναι τι πραγματικά συνέβη
Μόλις τα προγράμματα οδήγησης απενεργοποιηθούν από τους χάκερ, μπορούν να λειτουργήσουν κάτω από το ραντάρ λόγω της έλλειψης εντοπισμού και απόκρισης πολλαπλών τελικών σημείων (EDR). Τα ευάλωτα προγράμματα οδήγησης μπορούν να περάσουν μια επιθεώρηση μέσω ενός έγκυρου πιστοποιητικού και διαθέτουν επίσης υψηλά προνόμια στον ίδιο τον υπολογιστή.
Προτεινόμενα βίντεο
Ερευνητές από την εταιρεία κυβερνοασφάλειας Sophos λεπτομέρεια πώς το πρόγραμμα οδήγησης γραφικών MSI που στοχεύεται από τη συμμορία ransomware προσφέρει κωδικούς ελέγχου I/O στους οποίους μπορείτε να έχετε πρόσβαση μέσω διαδικασιών σε λειτουργία χρήστη. Ωστόσο, αυτό το στοιχείο παραβιάζει τις οδηγίες ασφαλείας της Microsoft σχετικά με την πρόσβαση στη μνήμη του πυρήνα.
Λόγω του exploit, οι φορείς απειλών μπορούν ελεύθερα να διαβάσουν, να γράψουν ή να εκτελέσουν κώδικα μέσα στη μνήμη του πυρήνα ενός συστήματος.
Το BlackByte είναι φυσικά πρόθυμο να αποφύγει τον εντοπισμό του, ώστε να μην αναλύονται τα hack του από τους ερευνητές, Sophos δήλωσε — η εταιρεία έδειξε προς τους εισβολείς που αναζητούν τυχόν προγράμματα εντοπισμού σφαλμάτων που εκτελούνται στο σύστημα και στη συνέχεια εγκαταλείπουν.
Επιπλέον, το κακόβουλο λογισμικό της ομάδας σαρώνει το σύστημα για τυχόν συνδεδεμένα DLL συνδεδεμένα με Avast, Sandboxie, Windows DbgHelp Library και Comodo Internet Security. Εάν βρεθεί κάποιο από την αναζήτηση, το BlackByte απενεργοποιεί τη δυνατότητά του να λειτουργεί.
Λόγω της εξελιγμένης φύσης της τεχνικής που χρησιμοποιούν οι φορείς απειλών, η Sophos προειδοποίησε ότι θα συνεχίσουν να εκμεταλλεύονται νόμιμους οδηγούς προκειμένου να παρακάμψουν τα προϊόντα ασφαλείας. Προηγουμένως, η μέθοδος "Bring Your Own Driver" είχε δει να χρησιμοποιείται από τη βορειοκορεατική ομάδα χάκερ Lazarus, η οποία περιλάμβανε ένα πρόγραμμα οδήγησης υλικού της Dell.
Το Bleeping Computer υπογραμμίζει τον τρόπο με τον οποίο οι διαχειριστές συστήματος μπορούν να προστατεύσουν τους υπολογιστές τους τοποθετώντας το πρόγραμμα οδήγησης MSI (RTCore64.sys) που στοχεύεται σε μια ενεργή λίστα αποκλεισμού.
Οι προσπάθειες ransomware της BlackByte ήρθαν στο φως για πρώτη φορά το 2021, με το FBI να τονίζει ότι η ομάδα hacking βρισκόταν πίσω από ορισμένες επιθέσεις στον κυβερνοχώρο κατά της κυβέρνησης.
Συστάσεις των συντακτών
- Οι επιθέσεις ransomware έχουν εκτοξευτεί μαζικά. Δείτε πώς να παραμείνετε ασφαλείς
- Οι χάκερ μπορεί να έχουν κλέψει το κύριο κλειδί σε άλλο διαχειριστή κωδικών πρόσβασης
- Η Microsoft μόλις σας έδωσε έναν νέο τρόπο για να μείνετε ασφαλείς από ιούς
- Αυτό το σημαντικό σφάλμα της Apple θα μπορούσε να αφήσει τους χάκερ να κλέψουν τις φωτογραφίες σας και να σκουπίσουν τη συσκευή σας
- Οι χάκερ βυθίζονται σε πολύ χαμηλά επίπεδα κλέβοντας λογαριασμούς Discord σε επιθέσεις ransomware
Αναβαθμίστε τον τρόπο ζωής σαςΤο Digital Trends βοηθά τους αναγνώστες να παρακολουθούν τον γρήγορο κόσμο της τεχνολογίας με όλα τα τελευταία νέα, διασκεδαστικές κριτικές προϊόντων, διορατικά editorial και μοναδικές κρυφές ματιές.
