Detecção de Ransomware BlackByte: Atores de Ameaças Exploram Vulnerabilidade CVE-2019-16098 no Driver RTCore64.sys para Contornar Proteção EDR
Índice:
BlackByte ransomware reemerge na arena de ameaças cibernéticas explorando uma falha de segurança em drivers legítimos para desabilitar produtos EDR em dispositivos comprometidos. Pesquisadores de segurança cibernética revelaram que operadores de ransomware aplicam uma técnica avançada de adversário chamada “Bring Your Own Driver”, permitindo que eles contornem produtos de segurança e disseminem infecções em máquinas vulneráveis.
Detectar o Ransomware BlackByte Usado nas Últimas Campanhas de Adversários
Defensores cibernéticos admitem que os ataques contínuos por operadores de ransomware BlackByte abusando de drivers legítimos para contornar soluções de segurança provavelmente continuarão. Para ajudar profissionais da indústria com a detecção proativa do Ransomware BlackByte, a plataforma da SOC Prime organiza um conjunto de regras Sigma desenvolvidas pelo nosso prolífico desenvolvedor Threat Bounty, Nattatorn Chuensangarun.
As detecções são compatíveis com 17 soluções SIEM, EDR e XDR e estão alinhadas com o framework MITRE ATT&CK® abordando a tática de Execução e a técnica correspondente de Execução de Usuário (T1204).
Clique no Explore Detections botão abaixo para acessar instantaneamente regras Sigma para detecção do Ransomware BlackByte e mergulhar em inteligência de ameaças abrangente.
Análise de Ataques do Ransomware BlackByte: Novas Campanhas Alvejando Drivers RTCore64.sys
BlackByte ransomware tem como alvo organizações em todo o mundo aplicando o modelo Ransomware-as-a-Service (RaaS) desde julho de 2021. Os operadores de ransomware estão constantemente evoluindo a variante do malware e expandindo seu kit de ferramentas de adversário. Originalmente, o grupo de ransomware BlackByte desenvolveu cepas de malware na linguagem de programação C# e depois aplicou as variantes atualizadas baseadas em Go com criptografia de arquivos aprimorada empregada em ataques cibernéticos contra a empresa de logística suíça em maio de 2022. Nessa campanha de adversários, o grupo já aplicou técnicas destinadas a desabilitar soluções de segurança e evitar detecção.
Recentes pesquisas da Sophos revelam uma nova técnica de adversário chamada “Bring Your Own Driver” que permite que atores de ameaça desabilitem soluções EDR por meio da exploração de uma vulnerabilidade conhecida em drivers RTCore64.sys. A falha de segurança rastreada como CVE-2019-16098 pode ser explorada para escalada de privilégios, execução de código e divulgação de informações. Uma técnica semelhante foi anteriormente aplicada por atores de ameaça para espalhar variante do ransomware AvosLocker abusando do driver comprometido da Avast, escaneando um conjunto de endpoints para Log4Shell, e desabilitando a proteção anti-vírus. Além disso, em agosto de 2022, adversários utilizaram essa técnica para targeting o mhyprot2.sys, um driver anti-cheat comprometido do jogo Genshin Impact, tentando desabilitar processos de antivírus e disseminar amostras de ransomware.
A técnica de evasão usada para soltar a nova variante do ransomware Blackbyte permite que atores de ameaça leiam e sobrescrevam drivers legítimos dos quais os produtos EDR dependem. De acordo com o relatório da Sophos, a técnica de adversário é capaz de desabilitar até 1.000 drivers RTCore64.sys, representando uma séria ameaça para organizações globais que utilizam este software.
O ransomware BlackByte explora os dispositivos legítimos comprometidos para remover entradas de callback aproveitadas pelas soluções EDR da memória do kernel. Como resultado, isso permite que atacantes sobrescrevam a função de callback do driver vulnerável com zeros. Os códigos de controle de I/O nos drivers abusados podem ser acessados diretamente por processos em modo de usuário, o que permite que os atacantes abusem da vulnerabilidade e realizem operações de leitura ou escrita na memória do kernel mesmo sem um shellcode ou um exploit.
Para se defender proativamente contra ataques do ransomware BlackByte, acesse imediatamente a coleção completa de regras Sigma relevantes e suas traduções para SIEM & XDR, juntamente com um contexto profundo de ameaças cibernéticas. Pesquisadores de ameaça progressivos ansiosos para enriquecer a expertise coletiva da indústria com seu conteúdo de detecção podem se juntar ao Programa Threat Bounty e monetizar suas contribuições. Não perca a oportunidade brilhante de construir seu perfil profissional ao vivo, aprimorar suas habilidades em Sigma e ATT&CK, e ganhar reconhecimento da comunidade global de defensores cibernéticos.
