Rilevamento del Ransomware BlackByte: Attori delle Minacce Sfruttano la Vulnerabilità CVE-2019-16098 nel Driver RTCore64.sys per Eludere la Protezione EDR
Indice:
BlackByte ransomware riemerge nell’arena delle minacce informatiche sfruttando una vulnerabilità di sicurezza in driver legittimi per disabilitare i prodotti EDR sui dispositivi compromessi. I ricercatori sulla sicurezza informatica hanno rivelato che gli operatori ransomware applicano una tecnica avanzata dell’avversario soprannominata “Bring Your Own Driver”, che consente loro di aggirare i prodotti di sicurezza e diffondere l’infezione su macchine vulnerabili.
Rileva il Ransomware BlackByte Utilizzato nelle Ultime Campagne Avversarie
I difensori informatici ammettono che gli attacchi in corso da parte degli operatori di ransomware BlackByte che abusano di driver legittimi per aggirare le soluzioni di sicurezza probabilmente continueranno. Per aiutare i colleghi del settore con la rilevazione proattiva del Ransomware BlackByte, la piattaforma SOC Prime cura un set dedicato di regole Sigma sviluppate dal nostro prolifico sviluppatore Threat Bounty, Nattatorn Chuensangarun.
Le rilevazioni sono compatibili con 17 soluzioni SIEM, EDR e XDR e sono allineate con il framework MITRE ATT&CK® affrontando la tattica di Esecuzione e la corrispondente tecnica di Esecuzione dell’Utente (T1204).
Clicca sul pulsante Esplora Rilevazioni qui sotto per accedere istantaneamente alle regole Sigma per la rilevazione del ransomware BlackByte e immergerti in informazioni dettagliate sulla minaccia.
Analisi degli Attacchi del Ransomware BlackByte: Nuove Campagne che Targettano i Driver RTCore64.sys
BlackByte ransomware ha preso di mira organizzazioni in tutto il mondo applicando il modello Ransomware-as-a-Service (RaaS) da luglio 2021. Gli operatori del ransomware evolvono costantemente la variante del malware ed espandono il loro kit di strumenti dell’avversario. Originariamente, il gruppo ransomware BlackByte ha sviluppato varianti di malware nel linguaggio di programmazione C# e successivamente ha applicato le varianti basate su Go con crittografia dei file migliorata utilizzata negli attacchi informatici contro l’azienda logistica con base in Svizzera a maggio 2022. In quella campagna avversaria, il gruppo ha già applicato tecniche mirate a disabilitare le soluzioni di sicurezza ed eludere la rilevazione.
Recenti ricerche di Sophos rivelano una nuova tecnica avversaria chiamata “Bring Your Own Driver” che consente agli attori delle minacce di disabilitare le soluzioni EDR attraverso lo sfruttamento di una vulnerabilità nota nei driver RTCore64.sys. La vulnerabilità di sicurezza tracciata come CVE-2019-16098 può essere sfruttata per l’elevazione dei privilegi, l’esecuzione di codice e la divulgazione di informazioni. Una tecnica simile è stata precedentemente applicata dagli attori delle minacce per diffondere la variante del ransomware AvosLocker abusando del driver Avast compromesso, scansionando un set di endpoint per Log4Shell, e disabilitando la protezione anti-virus. Inoltre, ad agosto 2022, gli avversari hanno sfruttato questa tecnica per targettare mhyprot2.sys, un driver anti-cheat compromesso per il gioco Genshin Impact, tentando di disabilitare i processi antivirus e diffondere i campioni di ransomware.
La tecnica di evasione utilizzata per rilasciare la nuova variante del ransomware BlackByte permette agli attori delle minacce di leggere e sovrascrivere driver legittimi da cui dipendono i prodotti EDR. Secondo quanto riportato da Sophos, la tecnica avversaria è in grado di disabilitare fino a 1.000 driver RTCore64.sys, rappresentando una seria minaccia per le organizzazioni globali che utilizzano questo software.
Il ransomware BlackByte sfrutta i dispositivi legittimi compromessi per rimuovere le voci di callback utilizzate dalle soluzioni EDR dalla memoria del kernel. Di conseguenza, questo permette agli attaccanti di sovrascrivere la funzione di callback del driver vulnerabile con zeri. I codici di controllo I/O nei driver abusati possono essere direttamente accessibili dai processi in modalità utente, il che consente agli attaccanti di sfruttare la vulnerabilità e eseguire operazioni di lettura o scrittura nella memoria del kernel anche senza uno shellcode o un exploit.
Per difendersi proattivamente contro gli attacchi del ransomware BlackByte, accedi immediatamente all’intera raccolta di regole Sigma pertinenti e alle loro traduzioni SIEM & XDR insieme a un contesto di minaccia informatica approfondito. Ricercatori della minaccia progressivi desiderosi di arricchire l’esperienza collettiva del settore con il loro contenuto di rilevamento possono unirsi al Programma Threat Bounty e monetizzare i loro contributi. Non perdere una brillante opportunità per costruire il tuo profilo professionale dal vivo, affinare le tue competenze Sigma e ATT&CK, e ottenere riconoscimento dalla comunità globale dei difensori informatici.
