Egy biztonsági hiba lehetővé tette a ransomware csoport, hogy hatékonyan megakadályozzák a víruskereső programok megfelelő működését a rendszeren.
Mint jelentette a Bleeping Computer, a BlackByte ransomware csoport az RTCore64.sys illesztőprogramhoz kapcsolódó újonnan felfedezett módszert használja több mint 1000 legitim illesztőprogram megkerülésére.
Az ilyen illesztőprogramokra támaszkodó biztonsági programok ezért nem képesek észlelni a jogsértést, magát a technikát a „Hozd el a saját illesztőprogramodat” címkével a kutatók.
Összefüggő
- A hackerek új módszerrel kényszerítik ki a ransomware-fizetést
- A hackerek egy ravasz, új trükköt használnak az eszközök megfertőzésére
- Nem, az 1Password-ot nem törték fel – ez történt valójában
Miután a hackerek kikapcsolták az illesztőprogramokat, a radar alatt működhetnek a többszörös végpont-érzékelés és válasz (EDR) hiánya miatt. A sebezhető illesztőprogramok érvényes tanúsítvánnyal képesek átmenni az ellenőrzésen, és magán a PC-n is magas jogosultságokkal rendelkeznek.
Ajánlott videók
A Sophos kiberbiztonsági vállalat kutatói Részlet hogyan kínál a ransomware banda által megcélzott MSI grafikus illesztőprogram I/O vezérlőkódokat, amelyek felhasználói módú folyamatokon keresztül érhetők el. Ez az elem azonban sérti a Microsoft kernelmemória-hozzáféréssel kapcsolatos biztonsági irányelveit.
A kihasználásnak köszönhetően a fenyegetés szereplői szabadon olvashatnak, írhatnak vagy futtathatnak kódot a rendszer kernelmemóriájában.
A BlackByte természetesen szeretné elkerülni, hogy észleljék, hogy ne elemezzék feltöréseit a Sophos kutatói kijelentette – a cég a támadókra mutatott rá, akik a rendszeren futó hibakeresőket keresték, majd kiléptek.
Ezen túlmenően a csoport rosszindulatú programja megvizsgálja a rendszert az Avast, a Sandboxie, a Windows DbgHelp Library és a Comodo Internet Security programokhoz kapcsolódó esetleges DLL-ek után kutatva. Ha a keresés valamelyiket megtalálja, a BlackByte letiltja a működését.
A fenyegetés szereplői által használt technika kifinomult természete miatt a Sophos arra figyelmeztetett, hogy továbbra is ki fogják használni a törvényes meghajtókat a biztonsági termékek megkerülése érdekében. Korábban a „Hozd el a saját illesztőprogramodat” módszert az észak-koreai Lazarus hackercsoport használta, amelyben egy Dell hardver-illesztőprogram is részt vett.
A Bleeping Computer kiemeli, hogy a rendszergazdák hogyan védhetik meg számítógépeiket azáltal, hogy a megcélzott MSI-illesztőprogramot (RTCore64.sys) egy aktív tiltólistába helyezik.
A BlackByte zsarolóprogram-törekvéseire először 2021-ben derült fény, amikor az FBI hangsúlyozta, hogy a hackercsoport áll a kormányt ért bizonyos kibertámadások mögött.
Szerkesztői ajánlások
- A ransomware támadások nagymértékben megugrottak. Így maradhat biztonságban
- A hackerek ellophatták egy másik jelszókezelő főkulcsát
- A Microsoft most új módszert kínált a vírusok elleni védelemre
- Ez a jelentős Apple-hiba lehetővé teheti a hackerek számára, hogy ellopják fényképeit, és töröljék az eszközt
- A hackerek új mélypontra süllyednek azzal, hogy zsarolóvírus-támadások során Discord-fiókokat lopnak el
Frissítse életmódjátA Digital Trends segítségével az olvasók nyomon követhetik a technológia rohanó világát a legfrissebb hírekkel, szórakoztató termékismertetőkkel, éleslátó szerkesztőségekkel és egyedülálló betekintésekkel.
