Un fallo de seguridad ha permitido que un Secuestro de datos gang para evitar que los programas antivirus se ejecuten correctamente en un sistema.
Como informado por Bleeping Computer, el grupo de ransomware BlackByte está utilizando un método recientemente descubierto relacionado con el controlador RTCore64.sys para eludir más de 1000 controladores legítimos.
Por lo tanto, los programas de seguridad que se basan en dichos controladores no pueden detectar una infracción, y los investigadores etiquetan la técnica como "Traiga su propio controlador".
Relacionado
- Los piratas informáticos tienen una nueva forma de forzar los pagos de ransomware
- Los piratas informáticos están utilizando un nuevo truco tortuoso para infectar sus dispositivos
- No, 1Password no fue pirateado: esto es lo que realmente sucedió
Una vez que los piratas informáticos han apagado los controladores, pueden operar bajo el radar debido a la falta de detección y respuesta de múltiples puntos finales (EDR). Los controladores vulnerables pueden pasar una inspección a través de un certificado válido y también cuentan con altos privilegios en la propia PC.
Vídeos recomendados
Investigadores de la empresa de ciberseguridad Sophos detalle cómo el controlador de gráficos MSI que es el objetivo de la banda de ransomware ofrece códigos de control de E/S a los que se puede acceder a través de procesos en modo de usuario. Sin embargo, este elemento infringe las pautas de seguridad de Microsoft sobre el acceso a la memoria del kernel.
Debido al exploit, los actores de amenazas pueden leer, escribir o ejecutar código libremente dentro de la memoria del kernel de un sistema.
BlackByte está naturalmente interesado en evitar ser detectado para que los investigadores de Sophos no analicen sus hacks. declaró: la compañía señaló a los atacantes que buscan depuradores que se ejecutan en el sistema y luego se cierran.
Además, el malware del grupo escanea el sistema en busca de posibles DLL de enlace conectados a Avast, Sandboxie, Windows DbgHelp Library y Comodo Internet Security. Si se encuentra alguno en la búsqueda, BlackByte desactiva su capacidad de funcionamiento.
Debido a la naturaleza sofisticada de la técnica utilizada por los actores de amenazas, Sophos advirtió que continuarán explotando los controladores legítimos para eludir los productos de seguridad. Anteriormente, el grupo de piratas informáticos norcoreano Lazarus utilizó el método "Trae tu propio controlador", que involucraba un controlador de hardware de Dell.
Bleeping Computer destaca cómo los administradores de sistemas pueden proteger sus PC colocando el controlador MSI (RTCore64.sys) que está siendo seleccionado en una lista de bloqueo activa.
Los esfuerzos de ransomware de BlackByte salieron a la luz por primera vez en 2021, y el FBI enfatizó que el grupo de piratería estaba detrás de ciertos ataques cibernéticos contra el gobierno.
Recomendaciones de los editores
- Los ataques de ransomware se han disparado masivamente. Así es como mantenerse a salvo
- Los piratas informáticos pueden haber robado la clave maestra de otro administrador de contraseñas
- Microsoft acaba de ofrecerte una nueva forma de mantenerte a salvo de los virus
- Este importante error de Apple podría permitir que los piratas informáticos roben sus fotos y borren su dispositivo
- Los piratas informáticos se hunden a un nuevo mínimo al robar cuentas de Discord en ataques de ransomware
Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales perspicaces y adelantos únicos.
