BlackByte Ransomware-Erkennung: Bedrohungsakteure nutzen CVE-2019-16098-Schwachstelle im RTCore64.sys Treiber aus, um EDR-Schutz zu umgehen
Inhaltsverzeichnis:
BlackByte Ransomware taucht im Cyber-Bedrohungsumfeld wieder auf und nutzt eine Sicherheitslücke in legitimen Treibern aus, um EDR-Produkte auf kompromittierten Geräten zu deaktivieren. Cybersicherheitsforscher haben enthüllt, dass Ransomware-Betreiber eine fortgeschrittene Angriffstechnik namens „Bring Your Own Driver“ anwenden, die es ihnen ermöglicht, Sicherheitsprodukte zu umgehen und Infektionen auf verwundbaren Rechnern zu verbreiten.
Erkennen Sie BlackByte Ransomware in den neuesten Angriffskampagnen
Cyber-Verteidiger geben zu, dass die laufenden Angriffe von BlackByte-Ransomware-Betreibern, die legitime Treiber ausnutzen, um Sicherheitslösungen zu umgehen, wahrscheinlich weitergehen werden. Um der Branche bei der proaktiven Erkennung von BlackByte-Ransomware zu helfen, kuratiert die SOC Prime-Plattform eine Reihe von dedizierten Sigma-Regeln entwickelt von unserem produktiven Threat Bounty-Entwickler, Nattatorn Chuensangarun.
Die Erkennungen sind kompatibel mit 17 SIEM-, EDR- und XDR-Lösungen und sind mit dem MITRE ATT&CK®-Framework zurückzuführen auf die Execution-Taktik und die entsprechende User Execution-Technik (T1204).
Klicken Sie auf den Erkundungen der Erkennungen Knopf unten, um sofortigen Zugriff auf Sigma-Regeln für die Erkennung von BlackByte Ransomware zu erhalten und in umfassende Bedrohungsinformationen einzutauchen.
Analyse der BlackByte-Ransomware-Angriffe: Neue Kampagnen zielen auf RTCore64.sys-Treiber ab
BlackByte Ransomware hat seit Juli 2021 weltweit Organisationen ins Visier genommen, indem das Ransomware-as-a-Service (RaaS)-Modell angewendet wurde. Die Ransomware-Betreiber entwickeln ständig die Malware-Variante weiter und erweitern ihr Angreifer-Toolkit. Ursprünglich entwickelte die BlackByte-Ransomware-Gruppe Malware-Stämme in der Programmiersprache C# und wendete später die verbesserte Go-basierte Varianten an, mit verbesserter Dateiverschlüsselung, die in Cyberangriffen gegen das in der Schweiz ansässige Logistikunternehmen im Mai 2022 genutzt wurden. In dieser Angriffskampagne hat die Gruppe bereits Techniken angewendet, die darauf abzielen, Sicherheitslösungen zu deaktivieren und eine Erkennung zu vermeiden.
Aktuelle Forschung von Sophos enthüllt eine neue Angriffstechnik namens „Bring Your Own Driver“, die Bedrohungsakteuren ermöglicht, EDR-Lösungen durch die Ausnutzung einer bekannten Sicherheitslücke in RTCore64.sys-Treibern zu deaktivieren. Die Sicherheitslücke, die als CVE-2019-16098 nachverfolgt wird, kann zur Privilegien-Erhöhung, Code-Ausführung und Informationsoffenlegung ausgenutzt werden. Eine ähnliche Technik wurde früher von Bedrohungsakteuren angewendet, um AvosLocker Ransomware Variante, indem der kompromittierte Avast-Treiber missbraucht wurde, um eine Reihe von Endpunkten nach Log4Shell, und Anti-Virus-Schutz zu deaktivieren. Auch im August 2022 nutzten Gegner diese Technik, um mhyprot2.sys, einen kompromittierten Anti-Cheat-Treiber für das Genshin Impact Spielanzugreifen, um Antivirus-Prozesse zu deaktivieren und Ransomware-Proben zu verbreiten.
Die Umgehungstechnik, die verwendet wird, um die neuartige Variante der BlackByte-Ransomware abzulegen, erlaubt Bedrohungsakteuren, legitime Treiber zu lesen und zu überschreiben, auf die EDR-Produkte angewiesen sind. Laut dem Bericht von Sophos ist die Angriffstechnik in der Lage, bis zu 1.000 RTCore64.sys-Treiber zu deaktivieren, was eine ernsthafte Bedrohung für globale Organisationen darstellt, die diese Software nutzen.
BlackByte Ransomware nutzt die kompromittierten legitimen Geräte aus, um Callback-Einträge zu entfernen, die von EDR-Lösungen aus dem Kernel-Speicher genutzt werden. Dies ermöglicht es Angreifern, die Rückruffunktion des verwundbaren Treibers mit Nullen zu überschreiben. Die I/O-Steuercodes in den missbrauchten Treibern können direkt von Benutzermodus-Prozessen aufgerufen werden, was es Angreifern ermöglicht, die Schwachstelle auszunutzen und Lese- oder Schreiboperationen im Kernel-Speicher auszuführen, selbst ohne Schadcode oder einen Exploit.
Um proaktiv gegen Angriffe der BlackByte-Ransomware zu verteidigen, erreichen Sie sofort die gesamte Sammlung relevanter Sigma-Regeln und deren SIEM & XDR-Übersetzungen zusammen mit tiefgreifendem Kontext zu Cyber-Bedrohungen. Fortgeschrittene Bedrohungsforscher, die darauf bedacht sind, die kollektive Branchenexpertise mit ihren Erkennungsinhalten zu bereichern, können dem Threat Bounty Program beitreten und ihre Beiträge monetarisieren. Verpassen Sie nicht die brillante Gelegenheit, Ihr professionelles Live-Profil auszubauen, Ihre Sigma- und ATT&CK-Fähigkeiten zu schärfen und Anerkennung von der globalen Community der Cyber-Verteidiger zu erhalten.
