Door een beveiligingslek is a ransomware gang om effectief te voorkomen dat antivirusprogramma's correct op een systeem werken.
Als gemeld door Bleeping Computer, gebruikt de BlackByte-ransomwaregroep een nieuw ontdekte methode met betrekking tot het stuurprogramma RTCore64.sys om meer dan 1.000 legitieme stuurprogramma's te omzeilen.
Beveiligingsprogramma's die afhankelijk zijn van dergelijke stuurprogramma's kunnen daarom geen inbreuk detecteren, en de techniek zelf wordt door onderzoekers bestempeld als "Bring Your Own Driver".
Verwant
- Hackers hebben een nieuwe manier om ransomwarebetalingen af te dwingen
- Hackers gebruiken een sluwe nieuwe truc om uw apparaten te infecteren
- Nee, 1Password is niet gehackt - dit is wat er echt is gebeurd
Zodra de stuurprogramma's door de hackers zijn uitgeschakeld, kunnen ze onder de radar opereren vanwege het ontbreken van Multiple Endpoint Detection and Response (EDR). De kwetsbare stuurprogramma's kunnen via een geldig certificaat door de keuring komen en beschikken bovendien over hoge rechten op de pc zelf.
Aanbevolen video's
Onderzoekers van cyberbeveiligingsbedrijf Sophos detail hoe het MSI grafische stuurprogramma dat het doelwit is van de ransomware-bende I/O-besturingscodes biedt die toegankelijk zijn via processen in de gebruikersmodus. Dit element schendt echter de beveiligingsrichtlijnen van Microsoft voor toegang tot het kernelgeheugen.
Door de exploit kunnen bedreigingsactoren vrijelijk code lezen, schrijven of uitvoeren in het kernelgeheugen van een systeem.
BlackByte wil natuurlijk voorkomen dat het wordt gedetecteerd om zijn hacks niet te laten analyseren door onderzoekers, Sophos verklaarde - het bedrijf wees naar aanvallers die op zoek waren naar debuggers die op het systeem draaiden en vervolgens stopten.
Bovendien scant de malware van de groep het systeem op mogelijke hookende DLL's die zijn aangesloten op Avast, Sandboxie, Windows DbgHelp Library en Comodo Internet Security. Mocht er iets worden gevonden door de zoekopdracht, dan schakelt BlackByte zijn vermogen om te functioneren uit.
Vanwege de geavanceerde aard van de techniek die door de bedreigingsactoren wordt gebruikt, waarschuwde Sophos dat ze legitieme stuurprogramma's zullen blijven gebruiken om beveiligingsproducten te omzeilen. Eerder werd de methode "Bring Your Own Driver" gebruikt door de Noord-Koreaanse hackgroep Lazarus, waarbij een Dell-hardwaredriver betrokken was.
Bleeping Computer laat zien hoe systeembeheerders hun pc's kunnen beschermen door het MSI-stuurprogramma (RTCore64.sys) waarop het doelwit is in een actieve blokkeerlijst te plaatsen.
De ransomware-inspanningen van BlackByte kwamen voor het eerst aan het licht in 2021, toen de FBI benadrukte dat de hackgroep achter bepaalde cyberaanvallen op de overheid zat.
Aanbevelingen van de redactie
- Ransomware-aanvallen zijn enorm toegenomen. Hier leest u hoe u veilig kunt blijven
- Hackers hebben mogelijk de hoofdsleutel van een andere wachtwoordbeheerder gestolen
- Microsoft heeft u zojuist een nieuwe manier gegeven om u te beschermen tegen virussen
- Door deze grote Apple-bug kunnen hackers je foto's stelen en je apparaat wissen
- Hackers zakken naar een nieuw dieptepunt door Discord-accounts te stelen bij ransomware-aanvallen
Upgrade je levensstijlDigital Trends helpt lezers de snelle wereld van technologie in de gaten te houden met het laatste nieuws, leuke productrecensies, verhelderende hoofdartikelen en unieke sneak peeks.
