Les spécialistes de la sécurité de Sophos ont découvert une nouvelle arnaque du gang de rançongiciels relativement jeune BlackByte. Ceux-ci utilisent le principe "Bring Your Own Driver" pour contourner plus de 1.000 64 pilotes utilisés dans les solutions Endpoint Detection and Response (EDR) à l'échelle de l'industrie. Sophos décrit les tactiques, techniques et procédures d'attaque (TTP) dans le nouveau rapport "Remove all the Callbacks - BlackByte Ransomware Disables EDR via RTCoreXNUMX.sys Abuse".
BlackByte, qui a été identifié comme une menace pour les infrastructures critiques dans un rapport spécial des services secrets et du FBI plus tôt cette année, est réapparu en mai après une brève interruption avec un nouveau site de fuite et de nouvelles tactiques d'extorsion. Maintenant, le groupe a apparemment également développé de nouvelles méthodes d'attaque.
La vulnérabilité permet la désactivation d'EDR
Plus précisément, ils exploitent une vulnérabilité dans RTCorec6.sys, un pilote graphique pour les systèmes Windows. Cette vulnérabilité particulière leur permet de communiquer directement avec le noyau du système cible et de lui commander de désactiver les routines de rappel utilisées par les fournisseurs EDR, ainsi que le fournisseur ETW (Event Tracing for Windows) appelé Microsoft-Windows-Threat-Intelligence . Les fournisseurs EDR utilisent cette fonctionnalité pour surveiller l'utilisation des appels d'API couramment utilisés à des fins malveillantes. Une fois cette fonctionnalité désactivée, EDR construit au-dessus de cette fonctionnalité sera également désactivé. Les produits Sophos offrent une protection contre les tactiques d'attaque décrites.
« Si vous considérez les ordinateurs comme une forteresse, ETW est le gardien de la porte d'entrée pour de nombreux fournisseurs d'EDR. Si la garde tombe en panne, le reste du système est extrêmement vulnérable. Et comme ETW est utilisé par de nombreux fournisseurs, le pool de cibles potentielles pour BlackByte est énorme », a commenté Chester Wisniewski, chercheur principal chez Sophos.
Groupe de rançongiciels BlackByte
BlackByte n'est pas le seul groupe de rançongiciels à utiliser Bring Your Own Driver pour contourner les solutions de sécurité. En mai, AvosLocker a exploité une vulnérabilité dans un autre pilote pour désactiver les solutions antivirus.
"Rétrospectivement, il semble que l'évasion EDR devient une technique de plus en plus populaire pour les groupes de rançongiciels, ce qui n'est pas surprenant. Les acteurs de la menace utilisent souvent des outils et des techniques développés par la «sécurité offensive» pour lancer des attaques plus rapidement et avec un minimum d'effort. En fait, BlackByte semble avoir hérité au moins une partie de son implémentation de contournement EDR de l'outil open source EDRSandblast », commente Wisniewski. « Étant donné que les cybercriminels adaptent les technologies de l'industrie de la sécurité, il est crucial que les défenseurs surveillent les nouvelles techniques d'évasion et d'exploitation et mettent en œuvre des contre-mesures avant que ces techniques ne se généralisent sur la scène de la cybercriminalité.
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.