Bedrohungsakteure verwenden BlackByte-Ransomware, um legitime Server zu missbrauchen und Sicherheitsebenen zu umgehen.
Der Ransomware-Stamm BlackByte wird von böswilligen Akteuren verwendet, um legitime Server über eine als „Bring Your Own Driver“ bekannte Technik zu missbrauchen.
BlackByte Ransomware zur Umgehung von Sicherheitsebenen
Die Ransomware BlackByte ist seit 2021 im Einsatz und fungiert als Ransomware-as-a-Service-Organisation. Diese Gruppen bieten anderen böswilligen Akteuren gegen eine Gebühr Ransomware-Produkte an. BlackByte steht jetzt wieder im Rampenlicht, nachdem es in einer Taktik namens „Bring Your Own Driver“ verwendet wurde. Bei diesem Angriff nutzen Cyberkriminelle eine Schwachstelle in RTCore64.sys aus Windows Treiber für das Grafikübertaktungsdienstprogramm, bekannt als CVE-2021-16098.
Bei einem Bring-Your-Own-Driver-Angriff wird eine verwundbare Version des RTCore64.sys-Treibers auf dem Gerät eines Opfers installiert. Der Angreifer kann diesen fehlerhaften Treiber dann missbrauchen und gleichzeitig unter dem Radar der Sicherheitssoftware bleiben.
Die neue Bedrohung wurde von Sophos, einer bekannten Cybersicherheitsfirma, entdeckt. In einem Sophos-News-Beitragwurde festgestellt, dass die Schwachstelle CVE-2021-16098 „einem authentifizierten Benutzer das Lesen und Schreiben in beliebigen Speicher ermöglicht, der für die Eskalation von Rechten, die Ausführung von Code mit hohen Rechten oder die Offenlegung von Informationen ausgenutzt werden könnte“.
Über 1.000 Treiber wurden von BlackByte deaktiviert
Bedrohungsakteure haben es geschafft, über 1.000 Treiber zu deaktivieren, die von branchenüblichen Endpoint Detection and Response (EDR)-Produkten verwendet werden. Wie im oben erwähnten Security News-Beitrag erwähnt, verlassen sich solche Sicherheitsprodukte auf diese Treiber, um ihren Kunden Schutz zu bieten.
Insbesondere überwachen diese Unternehmen die Verwendung häufig missbrauchter API-Aufrufe, eine Funktion, die durch diese Bring-Your-Own-Driver-Angriffe gestoppt wird.
BlackByte hat in der Vergangenheit Probleme verursacht
Dies ist nicht das erste Mal, dass BlackByte bei Cyberangriffen verwendet wird. Anfang 2022 gab das FBI eine Warnung vor einer Reihe von BlackByte-Ransomware-Angriffen heraus, die über den Missbrauch von Microsoft Exchange-Servern stattfinden. Die Reihe von Exploits fand im Dezember 2021 statt, bei der Angreifer mithilfe von drei ProxyShell-Schwachstellen in Unternehmensnetzwerke eindrangen, um Web-Shells auf kompromittierten Servern zu installieren.
Seit den Angriffen wurden Patches für die ProxyShell-Schwachstellen entwickelt, was die BlackByte-Betreiber aber offenbar nicht daran gehindert hat, ihre Angriffe an anderer Stelle fortzusetzen.
Ransomware bedroht weiterhin Einzelpersonen und Unternehmen gleichermaßen
Ransomware kann enorme Verluste verursachen, sei es bei Daten oder Finanzbeständen. Diese Art von Cyberangriff ist inzwischen so beliebt, dass sie über illegale Dienstanbieter erworben werden kann, wodurch noch mehr böswillige Akteure die Möglichkeit erhalten, Opfer auszunutzen. Es ist nicht bekannt, ob BlackByte-Betreiber in Zukunft weiterhin Probleme bereiten werden, aber dies Windows Angriff ist ein weiteres Beispiel für die Fähigkeiten von Ransomware-Programmen.
