Detección de Ransomware BlackByte: Actores de Amenazas Explotan la Vulnerabilidad CVE-2019-16098 en el Controlador RTCore64.sys para Eludir la Protección EDR
Tabla de contenidos:
Ransomware BlackByte reaparece en el escenario de amenazas cibernéticas explotando una vulnerabilidad de seguridad en controladores legítimos para desactivar productos EDR en dispositivos comprometidos. Investigadores de ciberseguridad han revelado que los operadores de ransomware aplican una técnica avanzada de adversario denominada «Trae tu propio controlador» que les permite evitar productos de seguridad y propagar infecciones en máquinas vulnerables.
Detectar el Ransomware BlackByte Usado en las Últimas Campañas de Adversarios
Defensores cibernéticos admiten que los ataques continuos por parte de los operadores de ransomware BlackByte que abusan de controladores legítimos para evadir soluciones de seguridad probablemente continúen. Para ayudar a sus pares en la industria con una detección proactiva del Ransomware BlackByte, la plataforma de SOC Prime selecciona un conjunto dedicado de reglas Sigma desarrolladas por nuestro prolífico desarrollador de Threat Bounty, Nattatorn Chuensangarun.
Las detecciones son compatibles con 17 soluciones SIEM, EDR y XDR y están alineadas con el marco MITRE ATT&CK® abordando la táctica de Ejecución y la técnica correspondiente de Ejecución del Usuario (T1204).
Haga clic en el Explorar Detecciones botón a continuación para acceder instantáneamente a las reglas Sigma para la detección del Ransomware BlackByte y sumergirse en inteligencia de amenazas detallada.
Análisis de Ataques de Ransomware BlackByte: Nuevas Campañas Dirigidas a Controladores RTCore64.sys
Ransomware BlackByte ha estado apuntando a organizaciones de todo el mundo aplicando el modelo Ransomware-as-a-Service (RaaS) desde julio de 2021. Los operadores de ransomware están constantemente evolucionando la variante de malware y expandiendo su kit de herramientas de adversario. Originalmente, el grupo de ransomware BlackByte desarrolló cepas de malware en el lenguaje de programación C# y más tarde aplicó las variantes mejoradas basadas en Go con una encriptación de archivos mejorada utilizada en ciberataques contra la empresa de logística suiza en mayo de 2022. En esa campaña de adversarios, el grupo ya aplicó técnicas destinadas a desactivar soluciones de seguridad y evadir la detección.
Investigaciones recientes de Sophos revelan una nueva técnica de adversario llamada «Trae tu propio controlador” que permite a los actores de amenazas desactivar soluciones EDR a través de la explotación de una vulnerabilidad conocida en los controladores RTCore64.sys. La falla de seguridad rastreada como CVE-2019-16098 puede ser explotada para la elevación de privilegios, ejecución de código y divulgación de información. Una técnica similar fue aplicaba anteriormente por actores de amenazas para propagar una variante de ransomware AvosLocker ab(usando el controlador comprometido de Avast, escaneando un conjunto de endpoints para Log4Shelly desactivando la protección antivirus. Además, en agosto de 2022, los adversarios usaron esta técnica para apuntar a mhyprot2.sys, un controlador anti-trampa comprometido para el juego Genshin Impactintentando desactivar procesos antivirus y propagar muestras de ransomware.
La técnica de evasión utilizada para desplegar la nueva variante de ransomware BlackByte permite a los actores de amenazas leer y sobrescribir controladores legítimos de los que dependen los productos EDR. Según el informe de Sophos, la técnica de adversario es capaz de desactivar hasta 1,000 controladores RTCore64.sys, representando una seria amenaza para las organizaciones globales que utilizan este software.
El ransomware BlackByte explota los dispositivos legítimos comprometidos para eliminar entradas de retorno utilizadas por soluciones EDR de la memoria del kernel. Como resultado, esto permite a los atacantes sobrescribir la función de retorno del controlador vulnerable con ceros. Los códigos de control de E/S en los controladores abusados pueden ser accedidos directamente por procesos en modo usuario, lo que permite a los atacantes abusar de la vulnerabilidad y realizar operaciones de lectura o escritura en la memoria del kernel incluso sin un shellcode o un exploit.
Para defenderse proactivamente contra los ataques de ransomware BlackByte, acceda de inmediato a toda la colección de reglas Sigma relevantes y sus traducciones a SIEM & XDR junto con un contexto detallado sobre amenazas cibernéticas. Investigadores de amenazas progresivas ansiosos por enriquecer la experiencia colectiva de la industria con su contenido de detección pueden unirse al Programa Threat Bounty y monetizar sus contribuciones. No pierda la oportunidad de construir su perfil profesional en vivo, perfeccionar sus habilidades Sigma y ATT&CK, y obtener reconocimiento de la comunidad global de defensores cibernéticos.
