Los especialistas en seguridad de Sophos descubrieron una nueva estafa por parte de la pandilla de ransomware relativamente joven BlackByte. Estos utilizan el principio "Traiga su propio controlador" para evitar más de 1.000 controladores utilizados en las soluciones de detección y respuesta de punto final (EDR) en toda la industria. Sophos describe las tácticas, técnicas y procedimientos de ataque (TTP) en el nuevo informe "Eliminar todas las devoluciones de llamada: BlackByte Ransomware deshabilita EDR a través del abuso de RTCore64.sys".
BlackByte, que fue identificado como una amenaza de infraestructura crítica en un informe especial del Servicio Secreto y el FBI a principios de este año, resurgió en mayo después de una breve pausa con un nuevo sitio de fuga y nuevas tácticas de extorsión. Ahora, aparentemente, el grupo también ha desarrollado nuevos métodos de ataque.
La vulnerabilidad permite la desactivación de EDR
En concreto, explotan una vulnerabilidad en RTCorec6.sys, un controlador de gráficos para sistemas Windows. Esta vulnerabilidad particular les permite comunicarse directamente con el kernel del sistema de destino y ordenarle que deshabilite las rutinas de devolución de llamada utilizadas por los proveedores de EDR, así como el proveedor ETW (Event Tracing for Windows) llamado Microsoft-Windows-Threat-Intelligence. Los proveedores de EDR usan esta característica para monitorear el uso de llamadas a la API de las que se abusa malintencionadamente. Una vez que se deshabilite esta función, el EDR creado sobre esta función también se deshabilitará. Los productos de Sophos ofrecen protección contra las tácticas de ataque descritas.
“Si piensa en las computadoras como una fortaleza, ETW es el guardia de entrada para muchos proveedores de EDR. Si la protección falla, el resto del sistema es extremadamente vulnerable. Y dado que muchos proveedores utilizan ETW, el grupo de objetivos potenciales para BlackByte es enorme”, comentó Chester Wisniewski, científico investigador principal de Sophos.
Grupo de ransomware BlackByte
BlackByte no es el único grupo de ransomware que usa Bring Your Own Driver para eludir las soluciones de seguridad. En mayo, AvosLocker aprovechó una vulnerabilidad en otro controlador para desactivar las soluciones antivirus.
“En retrospectiva, parece que la evasión de EDR se está convirtiendo en una técnica cada vez más popular para los grupos de ransomware, lo cual no es sorprendente. Los actores de amenazas a menudo usan herramientas y técnicas desarrolladas por "seguridad ofensiva" para lanzar ataques más rápido y con un esfuerzo mínimo. De hecho, BlackByte parece haber heredado al menos parte de su implementación de derivación de EDR de la herramienta de código abierto EDRSandblast”, comenta Wisniewski. “Dado que los ciberdelincuentes están adaptando las tecnologías de la industria de la seguridad, es crucial que los defensores controlen las nuevas técnicas de evasión y explotación e implementen contramedidas antes de que estas técnicas se generalicen en la escena del ciberdelito.
Más en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.