La souche de ransomware BlackByte est utilisée par des acteurs malveillants pour abuser de serveurs légitimes via une technique connue sous le nom de "Bring Your Own Driver".
BlackByte Ransomware utilisé pour contourner les couches de sécurité
Le rançongiciel BlackByte est utilisé depuis 2021 et agit comme un rançongiciel en tant que service organisation. Ces groupes proposent des produits de ransomware à d'autres acteurs malveillants moyennant des frais. BlackByte est maintenant de retour sous les projecteurs après avoir été utilisé dans une tactique connue sous le nom de "Bring Your Own Driver". Dans cette attaque, les cybercriminels exploitent une vulnérabilité dans le pilote de l'utilitaire d'overclocking graphique Windows RTCore64.sys connu sous le nom de CVE-2021-16098.
Une attaque Bring Your Own Driver implique l'installation d'une version vulnérable du pilote RTCore64.sys sur l'appareil de la victime. L'attaquant peut alors abuser de ce pilote défectueux tout en restant sous le radar des logiciels de sécurité.
La nouvelle menace a été découverte par Sophos, une société de cybersécurité bien connue. Dans un Article Sophos News, il a été déclaré que la vulnérabilité CVE-2021-16098 "permet à un utilisateur authentifié de lire et d'écrire sur des mémoire, qui pourrait être exploitée pour l'élévation de privilèges, l'exécution de code avec des privilèges élevés ou des informations divulgation".
Plus de 1 000 pilotes ont été désactivés par BlackByte
Les acteurs de la menace ont réussi à désactiver plus de 1 000 pilotes utilisés par les produits de détection et de réponse aux points finaux (EDR) de l'industrie. Comme indiqué dans le post susmentionné de Security News, ces produits de sécurité s'appuient sur ces pilotes pour assurer la protection de leur clientèle.
Plus précisément, ces entreprises surveillent l'utilisation des appels d'API fréquemment abusés, une fonction qui est interrompue via ces attaques Bring Your Own Driver.
BlackByte a causé des problèmes dans le passé
Ce n'est pas la première fois que BlackByte est utilisé dans des cyberattaques. Début 2022, le FBI a émis un avertissement concernant une série d'attaques de rançongiciels BlackByte se déroulant via le abus des serveurs Microsoft Exchange. La série d'exploits a eu lieu en décembre 2021, au cours de laquelle des attaquants ont piraté les réseaux d'entreprise en utilisant trois vulnérabilités ProxyShell pour installer des shells Web sur des serveurs compromis.
Depuis les attaques, des correctifs ont été développés pour les vulnérabilités ProxyShell, mais cela ne semble pas avoir empêché les opérateurs BlackByte de poursuivre leurs attaques ailleurs.
Les ransomwares continuent de menacer les particuliers comme les entreprises
Les ransomwares ont la capacité de causer d'énormes pertes, que ce soit dans les données ou les avoirs financiers. Ce type de cyberattaque est maintenant si populaire qu'il peut être acheté via des fournisseurs de services illicites, donnant à encore plus d'acteurs malveillants la possibilité d'exploiter les victimes. On ne sait pas si les opérateurs BlackByte continueront à causer des problèmes à l'avenir, mais cette attaque Windows est un autre exemple des capacités des programmes de ransomware.
