Cacat keamanan telah memungkinkan a ransomware geng untuk secara efektif mencegah program antivirus berjalan dengan baik pada sistem.
Sebagai dilaporkan oleh Bleeping Computer, grup ransomware BlackByte menggunakan metode yang baru ditemukan terkait dengan driver RTCore64.sys untuk menghindari lebih dari 1.000 driver yang sah.
Oleh karena itu, program keamanan yang mengandalkan driver semacam itu tidak dapat mendeteksi pelanggaran, dengan teknik itu sendiri diberi label sebagai "Bawa Pengemudi Anda Sendiri" oleh para peneliti.
Terkait
- Peretas memiliki cara baru untuk memaksa pembayaran ransomware
- Peretas menggunakan trik baru yang licik untuk menginfeksi perangkat Anda
- Tidak, 1Password tidak diretas – inilah yang sebenarnya terjadi
Setelah driver dimatikan oleh peretas, mereka dapat beroperasi di bawah radar karena kurangnya beberapa endpoint detection and response (EDR). Driver yang rentan dapat lolos pemeriksaan melalui sertifikat yang valid, dan mereka juga menampilkan hak istimewa yang tinggi pada PC itu sendiri.
Video yang Direkomendasikan
Peneliti dari perusahaan keamanan siber Sophos detail bagaimana driver grafis MSI yang menjadi sasaran geng ransomware menawarkan kode kontrol I/O yang dapat diakses melalui proses mode pengguna. Namun, elemen ini melanggar panduan keamanan Microsoft tentang akses memori kernel.
Karena eksploitasi, pelaku ancaman dapat dengan bebas membaca, menulis, atau mengeksekusi kode di dalam memori kernel sistem.
BlackByte secara alami ingin menghindari deteksi agar peretasannya tidak dianalisis oleh para peneliti, Sophos dinyatakan - perusahaan menunjuk ke arah penyerang yang mencari debugger yang berjalan di sistem dan kemudian berhenti.
Selain itu, malware grup memindai sistem untuk mencari DLL potensial yang terhubung ke Avast, Sandboxie, Windows DbgHelp Library, dan Comodo Internet Security. Jika ada yang ditemukan oleh pencarian, BlackByte menonaktifkan kemampuannya untuk berfungsi.
Karena sifat canggih dari teknik yang digunakan oleh para pelaku ancaman, Sophos memperingatkan bahwa mereka akan terus mengeksploitasi driver yang sah untuk melewati produk keamanan. Sebelumnya, metode “Bring Your Own Driver” terlihat digunakan oleh grup peretas Korea Utara Lazarus, yang melibatkan driver perangkat keras Dell.
Bleeping Computer menyoroti bagaimana administrator sistem dapat melindungi PC mereka dengan memasukkan driver MSI (RTCore64.sys) yang menjadi target ke dalam daftar blokir aktif.
Upaya ransomware BlackByte pertama kali terungkap pada tahun 2021, dengan FBI menekankan bahwa kelompok peretas berada di balik serangan siber tertentu terhadap pemerintah.
Rekomendasi Editor
- Serangan ransomware telah melonjak secara besar-besaran. Inilah cara agar tetap aman
- Peretas mungkin telah mencuri kunci master ke pengelola kata sandi lain
- Microsoft baru saja memberi Anda cara baru untuk tetap aman dari virus
- Bug utama Apple ini dapat membuat peretas mencuri foto Anda dan menghapus perangkat Anda
- Peretas tenggelam ke titik terendah baru dengan mencuri akun Discord dalam serangan ransomware
Tingkatkan gaya hidup AndaTren Digital membantu pembaca mengawasi dunia teknologi yang bergerak cepat dengan semua berita terbaru, ulasan produk yang menyenangkan, editorial yang berwawasan, dan cuplikan unik.
