ข้อบกพร่องด้านความปลอดภัยทำให้ก แรนซัมแวร์ เพื่อป้องกันไม่ให้โปรแกรมป้องกันไวรัสทำงานอย่างถูกต้องบนระบบได้อย่างมีประสิทธิภาพ
เช่น รายงานโดย Bleeping Computerกลุ่มแรนซั่มแวร์ BlackByte กำลังใช้วิธีการที่ค้นพบใหม่ที่เกี่ยวข้องกับไดรเวอร์ RTCore64.sys เพื่อหลีกเลี่ยงไดรเวอร์ที่ถูกกฎหมายมากกว่า 1,000 ตัว
โปรแกรมรักษาความปลอดภัยที่ใช้ไดรเวอร์ดังกล่าวจึงไม่สามารถตรวจจับการละเมิดได้ โดยเทคนิคนี้จะถูกระบุว่าเป็น "นำไดรเวอร์มาเอง" โดยนักวิจัย
ที่เกี่ยวข้อง
- แฮ็กเกอร์มีวิธีใหม่ในการบังคับชำระเงินค่าไถ่
- แฮ็กเกอร์กำลังใช้กลอุบายใหม่เพื่อแพร่ระบาดในอุปกรณ์ของคุณ
- ไม่ 1Password ไม่ได้ถูกแฮ็ก – นี่คือสิ่งที่เกิดขึ้นจริง
เมื่อแฮ็กเกอร์ปิดไดรเวอร์แล้ว พวกเขาสามารถทำงานภายใต้เรดาร์ได้เนื่องจากขาดการตรวจจับและตอบสนองปลายทาง (EDR) ไดรเวอร์ที่มีช่องโหว่สามารถผ่านการตรวจสอบผ่านใบรับรองที่ถูกต้องได้ และพวกเขายังมีสิทธิพิเศษสูงในเครื่องพีซีอีกด้วย
วิดีโอแนะนำ
นักวิจัยจากบริษัทด้านความปลอดภัยทางไซเบอร์ Sophos รายละเอียด วิธีที่ไดรเวอร์กราฟิก MSI ที่เป็นเป้าหมายโดยแก๊งแรนซัมแวร์นำเสนอรหัสควบคุม I/O ที่สามารถเข้าถึงได้ผ่านกระบวนการโหมดผู้ใช้ อย่างไรก็ตาม องค์ประกอบนี้ละเมิดหลักเกณฑ์ด้านความปลอดภัยของ Microsoft ในการเข้าถึงหน่วยความจำเคอร์เนล
เนื่องจากการเจาะระบบ ผู้คุกคามสามารถอ่าน เขียน หรือรันโค้ดได้อย่างอิสระภายในหน่วยความจำเคอร์เนลของระบบ
BlackByte มีความกระตือรือร้นที่จะหลีกเลี่ยงการถูกตรวจจับโดยธรรมชาติ เพื่อไม่ให้นักวิจัย Sophos วิเคราะห์การแฮ็กของมัน ระบุ — บริษัทชี้ไปที่ผู้โจมตีที่มองหาโปรแกรมแก้ไขจุดบกพร่องใดๆ ที่ทำงานบนระบบและหยุดการทำงาน
นอกจากนี้ มัลแวร์ของกลุ่มยังสแกนระบบเพื่อหา DLLs ที่เกี่ยวโยงกับ Avast, Sandboxie, Windows DbgHelp Library และ Comodo Internet Security หากพบโดยการค้นหา BlackByte จะปิดใช้งานความสามารถในการทำงาน
เนื่องจากลักษณะที่ซับซ้อนของเทคนิคที่ผู้คุกคามใช้ Sophos เตือนว่าพวกเขาจะยังคงใช้ประโยชน์จากไดรเวอร์ที่ถูกกฎหมายเพื่อหลีกเลี่ยงผลิตภัณฑ์รักษาความปลอดภัย ก่อนหน้านี้ กลุ่มแฮ็คชาวเกาหลีเหนือ Lazarus ใช้วิธี “Bring Your Own Driver” ซึ่งเกี่ยวข้องกับไดรเวอร์ฮาร์ดแวร์ของ Dell
Bleeping Computer ไฮไลต์วิธีที่ผู้ดูแลระบบสามารถปกป้องพีซีของตนโดยใส่ไดรเวอร์ MSI (RTCore64.sys) ที่ถูกกำหนดเป้าหมายลงในรายการบล็อกที่ใช้งานอยู่
ความพยายามในการเรียกค่าไถ่ของ BlackByte เกิดขึ้นครั้งแรกในปี 2021 โดย FBI ย้ำว่ากลุ่มแฮ็คอยู่เบื้องหลังการโจมตีทางไซเบอร์บางอย่างต่อรัฐบาล
คำแนะนำของบรรณาธิการ
- การโจมตีด้วยแรนซัมแวร์พุ่งสูงขึ้นอย่างมาก นี่คือวิธีการรักษาความปลอดภัย
- แฮ็กเกอร์อาจขโมยรหัสหลักไปยังผู้จัดการรหัสผ่านอื่น
- Microsoft เพิ่งมอบวิธีใหม่ให้คุณปลอดภัยจากไวรัส
- ข้อบกพร่องที่สำคัญของ Apple นี้อาจทำให้แฮ็กเกอร์ขโมยรูปภาพและล้างอุปกรณ์ของคุณได้
- แฮ็กเกอร์จมลงสู่ระดับต่ำสุดด้วยการขโมยบัญชี Discord ในการโจมตีด้วยแรนซัมแวร์
ยกระดับไลฟ์สไตล์ของคุณDigital Trends ช่วยให้ผู้อ่านติดตามโลกเทคโนโลยีที่เปลี่ยนแปลงอย่างรวดเร็วด้วยข่าวสารล่าสุด บทวิจารณ์ผลิตภัณฑ์สนุกๆ บทบรรณาธิการเชิงลึก และการแอบดูที่ไม่ซ้ำใคร
