Os especialistas em segurança da Sophos descobriram um novo golpe da relativamente jovem gangue de ransomware BlackByte. Eles usam o princípio "Traga seu próprio driver" para contornar mais de 1.000 drivers usados em soluções de detecção e resposta de endpoint (EDR) em todo o setor. A Sophos descreve as táticas, técnicas e procedimentos de ataque (TTPs) no novo relatório “Remove all the Callbacks – BlackByte Ransomware Disables EDR via RTCore64.sys Abuse”.
O BlackByte, que foi identificado como uma ameaça crítica à infraestrutura em um relatório especial do Serviço Secreto e do FBI no início deste ano, ressurgiu em maio após um breve hiato com um novo site de vazamento e novas táticas de extorsão. Agora, o grupo aparentemente também desenvolveu novos métodos de ataque.
Vulnerabilidade permite desativação de EDR
Especificamente, eles exploram uma vulnerabilidade no RTCorec6.sys, um driver gráfico para sistemas Windows. Essa vulnerabilidade específica permite que eles se comuniquem diretamente com o kernel do sistema de destino e o comandem para desativar as rotinas de retorno de chamada usadas pelos provedores de EDR, bem como o provedor ETW (Event Tracing for Windows) chamado Microsoft-Windows-Threat-Intelligence . Os provedores de EDR usam esse recurso para monitorar o uso de chamadas de API comumente abusadas de forma maliciosa. Depois que esse recurso for desativado, o EDR criado com base nesse recurso também será desativado. Os produtos Sophos oferecem proteção contra as táticas de ataque descritas.
“Se você pensar nos computadores como uma fortaleza, a ETW é a guarda na porta de entrada de muitos provedores de EDR. Se a guarda falhar, o resto do sistema fica extremamente vulnerável. E como o ETW é usado por muitos fornecedores, o conjunto de possíveis alvos para o BlackByte é enorme”, comentou Chester Wisniewski, principal pesquisador científico da Sophos.
Grupo de ransomware BlackByte
O BlackByte não é o único grupo de ransomware que usa Traga seu próprio driver para contornar as soluções de segurança. Em maio, o AvosLocker explorou uma vulnerabilidade em outro driver para desabilitar as soluções antivírus.
“Em retrospecto, parece que a evasão de EDR está se tornando uma técnica cada vez mais popular para grupos de ransomware, o que não é surpreendente. Atores de ameaças costumam usar ferramentas e técnicas desenvolvidas por “segurança ofensiva” para lançar ataques mais rapidamente e com o mínimo de esforço. Na verdade, a BlackByte parece ter herdado pelo menos parte de sua implementação de desvio de EDR da ferramenta de código aberto EDRSandblast”, comenta Wisniewski. “Dado que os cibercriminosos estão adaptando as tecnologias do setor de segurança, é crucial que os defensores monitorem novas técnicas de evasão e exploração e implementem contramedidas antes que essas técnicas se tornem difundidas na cena do cibercrime.
Mais em Sophos.com
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.