Bir güvenlik kusuru izin verdi fidye yazılımı virüsten koruma programlarının bir sistemde düzgün çalışmasını etkili bir şekilde önlemek için çete.
Gibi Bleeping Computer tarafından bildirildi, BlackByte fidye yazılımı grubu, 1.000'den fazla meşru sürücüyü atlatmak için RTCore64.sys sürücüsüyle ilgili yeni keşfedilen bir yöntemi kullanıyor.
Bu tür sürücülere dayanan güvenlik programları, tekniğin kendisi araştırmacılar tarafından "Kendi Sürücünüzü Getirin" olarak etiketlendiğinden, bu nedenle bir ihlali tespit edemez.
İlgili
- Bilgisayar korsanlarının fidye yazılımı ödemelerini zorlamak için yeni bir yöntemi var
- Bilgisayar korsanları cihazlarınıza bulaşmak için sinsi yeni bir numara kullanıyor
- Hayır, 1Password saldırıya uğramadı - işte gerçekte olanlar
Sürücüler bilgisayar korsanları tarafından kapatıldıktan sonra, çoklu uç nokta algılama ve yanıt (EDR) eksikliği nedeniyle radar altında çalışabilirler. Savunmasız sürücüler, geçerli bir sertifika aracılığıyla bir incelemeden geçebilirler ve aynı zamanda PC'nin kendisinde de yüksek ayrıcalıklara sahiptirler.
Önerilen Videolar
Siber güvenlik şirketi Sophos'tan araştırmacılar detay fidye yazılımı çetesi tarafından hedeflenen MSI grafik sürücüsünün, kullanıcı modu işlemleriyle erişilebilen G/Ç kontrol kodlarını nasıl sunduğu. Ancak bu öğe, Microsoft'un çekirdek bellek erişimine ilişkin güvenlik yönergelerini ihlal eder.
Açıklardan yararlanma nedeniyle, tehdit aktörleri bir sistemin çekirdek belleğindeki kodu özgürce okuyabilir, yazabilir veya yürütebilir.
BlackByte, hack'lerinin araştırmacılar tarafından analiz edilmemesi için doğal olarak tespit edilmekten kaçınmaya heveslidir, Sophos belirtilen - şirket, sistemde çalışan herhangi bir hata ayıklayıcı arayan ve sonra çıkan saldırganlara işaret etti.
Ayrıca, grubun kötü amaçlı yazılımı, sistemi Avast, Sandboxie, Windows DbgHelp Library ve Comodo Internet Security'ye bağlı herhangi bir potansiyel kanca DLL'si için tarar. Arama sonucunda herhangi biri bulunursa, BlackByte işlevini devre dışı bırakır.
Tehdit aktörleri tarafından kullanılan tekniğin karmaşık doğası nedeniyle Sophos, güvenlik ürünlerini baypas etmek için meşru sürücüleri kullanmaya devam edecekleri konusunda uyardı. Daha önce, bir Dell donanım sürücüsü içeren Kuzey Koreli bilgisayar korsanlığı grubu Lazarus tarafından "Kendi Sürücünüzü Getirin" yönteminin kullanıldığı görüldü.
Bleeping Computer, sistem yöneticilerinin hedeflenen MSI sürücüsünü (RTCore64.sys) etkin bir engelleme listesine koyarak bilgisayarlarını nasıl koruyabileceklerini vurgular.
BlackByte'ın fidye yazılımı çabaları ilk olarak 2021'de FBI'ın hükümete yönelik bazı siber saldırıların arkasında bilgisayar korsanlığı grubunun olduğunu vurgulaması ile gün ışığına çıktı.
Editörlerin Önerileri
- Fidye yazılımı saldırıları büyük ölçüde arttı. İşte nasıl güvende kalacağınız
- Bilgisayar korsanları başka bir parola yöneticisinin ana anahtarını çalmış olabilir
- Microsoft size virüslerden korunmanın yeni bir yolunu verdi
- Bu büyük Apple hatası, bilgisayar korsanlarının fotoğraflarınızı çalmasına ve cihazınızı silmesine izin verebilir
- Bilgisayar korsanları, fidye yazılımı saldırılarında Discord hesaplarını çalarak dibe vurur
Yaşam tarzınızı yükseltinDijital Eğilimler, en son haberler, eğlenceli ürün incelemeleri, anlayışlı başyazılar ve türünün tek örneği ön incelemelerle okuyucuların hızlı tempolu teknoloji dünyasını takip etmelerine yardımcı olur.
