Gli specialisti della sicurezza di Sophos hanno scoperto una nuova truffa del gruppo di ransomware relativamente giovane BlackByte. Questi utilizzano il principio "Bring Your Own Driver" per bypassare più di 1.000 driver utilizzati nelle soluzioni Endpoint Detection and Response (EDR) a livello di settore. Sophos descrive le tattiche, le tecniche e le procedure di attacco (TTP) nel nuovo report "Remove all the Callbacks – BlackByte Ransomware Disables EDR via RTCore64.sys Abuse".
BlackByte, che è stato identificato come una minaccia infrastrutturale critica in un rapporto speciale dei servizi segreti e dell'FBI all'inizio di quest'anno, è riemerso a maggio dopo una breve pausa con un nuovo sito di fuga e nuove tattiche di estorsione. Ora il gruppo ha apparentemente sviluppato anche nuovi metodi di attacco.
La vulnerabilità consente la disattivazione di EDR
In particolare, sfruttano una vulnerabilità in RTCorec6.sys, un driver grafico per sistemi Windows. Questa particolare vulnerabilità consente loro di comunicare direttamente con il kernel del sistema di destinazione e ordinargli di disabilitare le routine di callback utilizzate dai provider EDR, nonché il provider ETW (Event Tracing for Windows) chiamato Microsoft-Windows-Threat-Intelligence . I provider EDR utilizzano questa funzione per monitorare l'uso di chiamate API comunemente oggetto di abusi. Una volta disabilitata questa funzione, anche l'EDR basato su questa funzione verrà disabilitato. I prodotti Sophos offrono protezione contro le tattiche di attacco descritte.
“Se pensi ai computer come a una fortezza, ETW è la guardia all'ingresso principale per molti provider EDR. Se la guardia fallisce, il resto del sistema è estremamente vulnerabile. E poiché ETW è utilizzato da molti fornitori, il pool di potenziali obiettivi per BlackByte è enorme", ha commentato Chester Wisniewski, Principal Research Scientist, Sophos.
Gruppo ransomware BlackByte
BlackByte non è l'unico gruppo ransomware che utilizza Bring Your Own Driver per aggirare le soluzioni di sicurezza. A maggio, AvosLocker ha sfruttato una vulnerabilità in un altro driver per disabilitare le soluzioni antivirus.
“In retrospettiva, sembra che l'evasione EDR stia diventando una tecnica sempre più popolare per i gruppi di ransomware, il che non sorprende. Gli attori delle minacce utilizzano spesso strumenti e tecniche sviluppati dalla "sicurezza offensiva" per lanciare attacchi più velocemente e con il minimo sforzo. In effetti, BlackByte sembra aver ereditato almeno una parte della sua implementazione di bypass EDR dallo strumento open source EDRSandblast", commenta Wisniewski. “Dato che i criminali informatici stanno adattando le tecnologie del settore della sicurezza, è fondamentale che i difensori monitorino le nuove tecniche di evasione e sfruttamento e implementino contromisure prima che queste tecniche si diffondano nella scena del crimine informatico.
Maggiori informazioni su Sophos.com
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.