Ett säkerhetsfel har möjliggjort en ransomware grupp för att effektivt förhindra antivirusprogram från att köras korrekt på ett system.
Som rapporterat av Bleeping Computer, BlackByte ransomware-gruppen använder en nyupptäckt metod relaterad till RTCore64.sys-drivrutinen för att kringgå mer än 1 000 legitima förare.
Säkerhetsprogram som förlitar sig på sådana drivrutiner kan därför inte upptäcka ett intrång, och själva tekniken märks som "Bring Your Own Driver" av forskare.
Relaterad
- Hackare har ett nytt sätt att tvinga fram betalningar av ransomware
- Hackare använder ett listigt nytt knep för att infektera dina enheter
- Nej, 1Password hackades inte – här är vad som verkligen hände
När förarna väl har stängts av av hackarna kan de arbeta under radarn på grund av bristen på multiple endpoint detection and response (EDR). De sårbara förarna kan klara en inspektion via ett giltigt certifikat, och de har också höga privilegier på själva datorn.
Rekommenderade videor
Forskare från cybersäkerhetsföretaget Sophos
detalj hur MSI-grafikdrivrutinen som riktas mot ransomware-gänget erbjuder I/O-kontrollkoder som kan nås genom processer i användarläge. Detta element bryter dock mot Microsofts säkerhetsriktlinjer för åtkomst till kärnminne.På grund av utnyttjandet kan hotaktörer fritt läsa, skriva eller exekvera kod i ett systems kärnminne.
BlackByte vill naturligtvis undvika att bli upptäckt för att inte få sina hack analyserade av forskare, Sophos sa — företaget pekade på angripare som letade efter eventuella felsökningar som körs på systemet och sedan avslutade.
Dessutom skannar gruppens skadliga program av systemet efter eventuella hooking DLL-filer anslutna till Avast, Sandboxie, Windows DbgHelp Library och Comodo Internet Security. Om någon hittas av sökningen inaktiverar BlackByte dess funktionsförmåga.
På grund av den sofistikerade tekniken som används av hotaktörerna varnade Sophos för att de kommer att fortsätta att utnyttja legitima förare för att kringgå säkerhetsprodukter. Tidigare sågs metoden "Bring Your Own Driver" användas av den nordkoreanska hackergruppen Lazarus, som involverade en hårdvarudrivrutin från Dell.
Bleeping Computer belyser hur systemadministratörer kan skydda sina datorer genom att sätta MSI-drivrutinen (RTCore64.sys) som är inriktad på en aktiv blockeringslista.
BlackBytes ransomware-insatser kom först i dagen 2021, där FBI betonade att hackargruppen låg bakom vissa cyberattacker mot regeringen.
Redaktörens rekommendationer
- Ransomware-attacker har ökat kraftigt. Så här håller du dig säker
- Hackare kan ha stulit huvudnyckeln till en annan lösenordshanterare
- Microsoft har precis gett dig ett nytt sätt att skydda dig mot virus
- Detta stora Apple-fel kan låta hackare stjäla dina foton och torka din enhet
- Hackare sjunker till nytt låg genom att stjäla Discord-konton i ransomware-attacker
Uppgradera din livsstilDigitala trender hjälper läsare att hålla koll på den snabba teknikvärlden med alla de senaste nyheterna, roliga produktrecensioner, insiktsfulla redaktioner och unika smygtittar.
