Détection du Ransomware BlackByte : Les Acteurs de la Menace Exploitent la Vulnérabilité CVE-2019-16098 dans le Pilote RTCore64.sys pour Contourner la Protection EDR
Table des matières :
Rançongiciel BlackByte réémerge dans l’arène des menaces cybernétiques en exploitant une faille de sécurité dans des pilotes légitimes pour désactiver les produits EDR sur les appareils compromis. Des chercheurs en cybersécurité ont révélé que les opérateurs de rançongiciels appliquent une technique avancée d’adversaire appelée « Apportez votre propre pilote » leur permettant de contourner les produits de sécurité et de propager l’infection sur les machines vulnérables.
Détectez le Rançongiciel BlackByte Utilisé dans les Dernières Campagnes Adversaires
Les défenseurs cyber admettent que les attaques en cours par les opérateurs du rançongiciel BlackByte abusant de pilotes légitimes pour contourner les solutions de sécurité sont susceptibles de continuer. Pour aider les pairs de l’industrie avec une détection proactive du Rançongiciel BlackByte, la plateforme de SOC Prime organise un ensemble de règles Sigma développées par notre développeur prolifique Threat Bounty, Nattatorn Chuensangarun.
Les détections sont compatibles avec 17 solutions SIEM, EDR et XDR et sont alignées avec le cadre MITRE ATT&CK® abordant la tactique d’exécution et la technique d’exécution de l’utilisateur correspondante (T1204).
Cliquez sur le bouton Explorez les Détections ci-dessous pour accéder instantanément aux règles Sigma pour la détection du Rançongiciel BlackByte et plonger dans une intelligence des menaces complète.
bouton Explorez les Détections
Analyse des Attaques du Rançongiciel BlackByte : Nouvelles Campagnes Ciblant les Pilotes RTCore64.sys
Rançongiciel BlackByte cible des organisations du monde entier en appliquant le modèle Ransomware-as-a-Service (RaaS) depuis juillet 2021. Les opérateurs de rançongiciels font constamment évoluer la variante du malware et élargissent leur kit d’outils d’adversaire. Initialement, le groupe de rançongiciels BlackByte a développé des souches de logiciels malveillants dans le langage de programmation C# et a ensuite appliqué les variantes basées sur Go avec un chiffrement de fichiers amélioré utilisé dans les cyberattaques contre la société de logistique suisse en mai 2022. Dans cette campagne d’adversaires, le groupe avait déjà appliqué des techniques visant à désactiver les solutions de sécurité et à échapper à la détection.
Des recherches récentes par Sophos révèlent une nouvelle technique d’adversaire appelée « Apportez votre propre pilote » qui permet aux acteurs malveillants de désactiver les solutions EDR grâce à l’exploitation d’une vulnérabilité connue dans les pilotes RTCore64.sys. La faille de sécurité suivie sous le nom CVE-2019-16098 peut être exploitée pour une escalade de privilèges, une exécution de code et une divulgation d’informations. Une technique similaire avait été précédemment appliquée par des acteurs malveillants pour propager le rançongiciel AvosLocker en abusant du pilote Avast compromis, en scannant un ensemble de points d’extrémité pour Log4Shell, et en désactivant la protection anti-virus. De plus, en août 2022, des adversaires ont exploité cette technique pour cibler mhyprot2.sys, un pilote anti-triche compromis pour le jeu Genshin Impact, tentant de désactiver les processus anti-virus et de propager des échantillons de rançongiciels.
La technique d’évasion utilisée pour déposer la nouvelle variante de rançongiciel BlackByte permet aux acteurs malveillants de lire et de réécrire des pilotes légitimes dont les produits EDR dépendent. Selon le rapport de Sophos, la technique d’adversaire est capable de désactiver jusqu’à 1 000 pilotes RTCore64.sys, posant une menace sérieuse pour les organisations mondiales utilisant ce logiciel.
Le rançongiciel BlackByte exploite les appareils légitimes compromis pour supprimer les entrées de rappel utilisées par les solutions EDR de la mémoire du noyau. En conséquence, cela permet aux attaquants de réécrire la fonction de rappel du pilote vulnérable avec des zéros. Les codes de contrôle d’I/O dans les pilotes abusés peuvent être directement accessibles par des processus en mode utilisateur, ce qui permet aux attaquants d’abuser de la vulnérabilité et d’effectuer des opérations de lecture ou d’écriture dans la mémoire du noyau même sans shellcode ou exploit.
Pour se défendre de manière proactive contre les attaques de rançongiciel BlackByte, accédez immédiatement à l’ensemble complet de règles Sigma pertinentes et leurs traductions SIEM & XDR ainsi qu’un contexte approfondi sur les menaces cybernétiques. Les chercheurs progressifs sur les menaces désireux d’enrichir l’expertise collective de l’industrie avec leur contenu de détection peuvent rejoindre le Programme Threat Bounty et monétiser leurs contributions. Ne manquez pas l’occasion de construire votre profil professionnel en direct, d’améliorer vos compétences Sigma et ATT&CK, et de gagner la reconnaissance de la communauté mondiale des défenseurs cyber.
