זן תוכנת הכופר של BlackByte נמצא בשימוש על ידי שחקנים זדוניים כדי לעשות שימוש לרעה בשרתים לגיטימיים באמצעות טכניקה המכונה "הבא את הנהג שלך".

BlackByte Ransomware המשמשת לעקוף שכבות אבטחה

תוכנת הכופר של BlackByte נמצאת בשימוש מאז 2021 ופועלת כ תוכנת כופר כשירות אִרגוּן. קבוצות אלו מציעות מוצרי כופר לשחקנים זדוניים אחרים תמורת תשלום. BlackByte חוזר כעת לאור הזרקורים לאחר שנעשה בו שימוש בטקטיקה המכונה "הבא את הנהג שלך". במתקפה זו, פושעי סייבר מנצלים פגיעות בתוך מנהל ההתקן הגרפי של Windows RTCore64.sys לאוברקלוקינג המכונה CVE-2021-16098.

התקפת Bring Your Own Driver כוללת התקנת גרסה פגיעה של מנהל ההתקן RTCore64.sys על התקן של הקורבן. התוקף יכול אז להתעלל בנהג הפגום הזה תוך שהוא גם נשאר מתחת לרדאר של תוכנת האבטחה.

האיום החדש התגלה על ידי סופוס, חברת אבטחת סייבר ידועה. ב פוסט Sophos News, צוין כי הפגיעות CVE-2021-16098 "מאפשרת למשתמש מאומת לקרוא ולכתוב באופן שרירותי זיכרון, שיכול להיות מנוצל להסלמה של הרשאות, ביצוע קוד תחת הרשאות גבוהות או מידע חשיפה".

למעלה מ-1,000 מנהלי התקנים הושבתו על ידי BlackByte

instagram viewer

שחקני איומים הצליחו להשבית למעלה מ-1,000 מנהלי התקנים המשמשים במוצרי זיהוי ותגובה של נקודות קצה (EDR). כפי שנאמר בפוסט האבטחה האמור לעיל, מוצרי אבטחה כאלה מסתמכים על נהגים אלה כדי לספק הגנה לקהל הלקוחות שלהם.

באופן ספציפי, חברות אלה עוקבות אחר השימוש בקריאות API שנעשה בהן שימוש לרעה לעתים קרובות, פונקציה שנעצרת באמצעות התקפות Bring Your Own Driver אלה.

BlackByte גרם לבעיות בעבר

זו לא הפעם הראשונה שבה נעשה שימוש ב-BlackByte בהתקפות סייבר. בתחילת 2022, ה-FBI פרסם אזהרה לגבי שורה של התקפות כופר של BlackByte המתרחשות באמצעות שימוש לרעה בשרתי Microsoft Exchange. סדרת הניצול התרחשה בדצמבר 2021, שבה פרצו תוקפים לרשתות ארגוניות תוך שימוש בשלוש נקודות תורפה של ProxyShell כדי להתקין קונכיות אינטרנט בשרתים שנפגעו.

מאז ההתקפות פותחו תיקונים עבור פגיעויות ProxyShell, אך נראה שזה לא מנע ממפעילי BlackByte להמשיך את ההתקפות שלהם במקומות אחרים.

תוכנת כופר ממשיכה לאיים על אנשים וחברות כאחד

לתוכנת כופר יש את היכולת לגרום להפסדים עצומים, בין אם זה בנתונים או בהחזקות פיננסיות. סוג זה של מתקפת סייבר הוא כעת כל כך פופולרי שניתן לרכוש אותו באמצעות ספקי שירות לא חוקיים, מה שנותן לשחקנים זדוניים אפילו יותר את היכולת לנצל קורבנות. לא ידוע אם מפעילי BlackByte ימשיכו לגרום לבעיות בעתיד, אך מתקפת Windows זו עומדת כדוגמה נוספת ליכולות של תוכנות כופר.