Der Ransomware-Stamm BlackByte wird von böswilligen Akteuren verwendet, um legitime Server über eine als „Bring Your Own Driver“ bekannte Technik zu missbrauchen.

BlackByte Ransomware zur Umgehung von Sicherheitsebenen

Die Ransomware BlackByte ist seit 2021 im Einsatz und fungiert als Ransomware-as-a-Service Organisation. Diese Gruppen bieten anderen böswilligen Akteuren gegen eine Gebühr Ransomware-Produkte an. BlackByte steht jetzt wieder im Rampenlicht, nachdem es in einer Taktik namens „Bring Your Own Driver“ verwendet wurde. Bei diesem Angriff nutzen Cyberkriminelle eine Schwachstelle im RTCore64.sys-Treiber für das Windows-Grafikübertaktungsdienstprogramm namens CVE-2021-16098 aus.

Bei einem Bring-Your-Own-Driver-Angriff wird eine verwundbare Version des RTCore64.sys-Treibers auf dem Gerät eines Opfers installiert. Der Angreifer kann diesen fehlerhaften Treiber dann missbrauchen und gleichzeitig unter dem Radar der Sicherheitssoftware bleiben.

Die neue Bedrohung wurde von Sophos, einer bekannten Cybersicherheitsfirma, entdeckt. In einem

instagram viewer
Sophos-News-Beitrag, wurde festgestellt, dass die Schwachstelle CVE-2021-16098 „einem authentifizierten Benutzer das Lesen und Schreiben beliebiger Arbeitsspeicher, der für die Rechteausweitung, Codeausführung mit hohen Rechten oder Informationen ausgenutzt werden könnte Offenlegung".

Über 1.000 Treiber wurden von BlackByte deaktiviert

Bedrohungsakteure haben es geschafft, über 1.000 Treiber zu deaktivieren, die von branchenüblichen Endpoint Detection and Response (EDR)-Produkten verwendet werden. Wie im oben erwähnten Security News-Beitrag erwähnt, verlassen sich solche Sicherheitsprodukte auf diese Treiber, um ihren Kunden Schutz zu bieten.

Insbesondere überwachen diese Unternehmen die Verwendung häufig missbrauchter API-Aufrufe, eine Funktion, die durch diese Bring-Your-Own-Driver-Angriffe gestoppt wird.

BlackByte hat in der Vergangenheit Probleme verursacht

Dies ist nicht das erste Mal, dass BlackByte bei Cyberangriffen verwendet wird. Anfang 2022 gab das FBI eine Warnung vor einer Reihe von BlackByte-Ransomware-Angriffen heraus, die über die Missbrauch von Microsoft Exchange-Servern. Die Reihe von Exploits fand im Dezember 2021 statt, bei der Angreifer Unternehmensnetzwerke durchbrachen, indem sie drei ProxyShell-Schwachstellen nutzten, um Web-Shells auf kompromittierten Servern zu installieren.

Seit den Angriffen wurden zwar Patches für die ProxyShell-Schwachstellen entwickelt, was die BlackByte-Betreiber aber offenbar nicht daran gehindert hat, ihre Angriffe an anderer Stelle fortzusetzen.

Ransomware bedroht weiterhin Einzelpersonen und Unternehmen gleichermaßen

Ransomware kann enorme Verluste verursachen, sei es bei Daten oder Finanzbeständen. Diese Art von Cyberangriff ist inzwischen so beliebt, dass sie über illegale Dienstanbieter erworben werden kann, wodurch noch mehr böswillige Akteure die Möglichkeit erhalten, Opfer auszunutzen. Es ist nicht bekannt, ob BlackByte-Betreiber in Zukunft weiterhin Probleme bereiten werden, aber dieser Windows-Angriff ist ein weiteres Beispiel für die Fähigkeiten von Ransomware-Programmen.