Sophos'tan güvenlik uzmanları, nispeten genç fidye yazılımı çetesi BlackByte tarafından yapılan yeni bir dolandırıcılığı ortaya çıkardı. Bunlar, endüstri çapında Endpoint Detection and Response (EDR) çözümlerinde kullanılan 1.000'den fazla sürücüyü atlamak için "Kendi Sürücünüzü Getirin" ilkesini kullanır. Sophos, “Tüm Geri Aramaları Kaldır – BlackByte Fidye Yazılımı, RTCore64.sys Kötüye Kullanımı Yoluyla EDR'yi Devre Dışı Bırakıyor” adlı yeni raporunda saldırı taktiklerini, tekniklerini ve prosedürlerini (TTP'ler) açıklıyor.
Gizli Servis ve FBI tarafından bu yılın başlarında hazırlanan özel bir raporda kritik bir altyapı tehdidi olarak tanımlanan BlackByte, yeni bir sızıntı sitesi ve yeni gasp taktikleriyle kısa bir aradan sonra Mayıs ayında yeniden ortaya çıktı. Şimdi grup görünüşe göre yeni saldırı yöntemleri de geliştirdi.
Güvenlik açığı, EDR'nin devre dışı bırakılmasına izin verir
Özellikle, Windows sistemleri için bir grafik sürücüsü olan RTCorec6.sys'deki bir güvenlik açığından yararlanırlar. Bu özel güvenlik açığı, hedef sistemin çekirdeğiyle doğrudan iletişim kurmalarına ve ona, EDR sağlayıcılarının yanı sıra Microsoft-Windows-Threat-Intelligence adlı ETW (Windows için Olay İzleme) sağlayıcısı tarafından kullanılan geri arama rutinlerini devre dışı bırakması için komut vermelerine olanak tanır. EDR sağlayıcıları, yaygın olarak kötü amaçlarla kötüye kullanılan API çağrılarının kullanımını izlemek için bu özelliği kullanır. Bu özellik devre dışı bırakıldığında, bu özelliğin üzerine inşa edilen EDR de devre dışı bırakılacaktır. Sophos ürünleri, açıklanan saldırı taktiklerine karşı koruma sağlar.
"Bilgisayarları bir kale olarak düşünürseniz, ETW birçok EDR sağlayıcısı için ön kapıdaki bekçidir. Koruma başarısız olursa, sistemin geri kalanı aşırı derecede savunmasızdır. ETW birçok satıcı tarafından kullanıldığından, BlackByte için potansiyel hedef havuzu çok büyük," diye yorumladı Sophos Baş Araştırma Bilimcisi Chester Wisniewski.
BlackByte fidye yazılımı grubu
BlackByte, güvenlik çözümlerini atlatmak için Kendi Sürücünü Getir kullanan tek fidye yazılımı grubu değil. Mayıs ayında AvosLocker, antivirüs çözümlerini devre dışı bırakmak için başka bir sürücüdeki bir güvenlik açığından yararlandı.
"Geriye dönüp bakıldığında, EDR kaçakçılığının fidye yazılımı grupları için giderek daha popüler bir teknik haline geldiği görülüyor ki bu şaşırtıcı değil. Tehdit aktörleri, saldırıları daha hızlı ve minimum çabayla başlatmak için genellikle "saldırı güvenliği" tarafından geliştirilen araç ve teknikleri kullanır. Aslında BlackByte, EDR baypas uygulamasının en azından bir kısmını açık kaynak aracı EDRSandblast'tan devralmış gibi görünüyor,” diye yorumluyor Wisniewski. “Siber suçluların güvenlik endüstrisi teknolojilerini adapte ettiği göz önüne alındığında, savunucuların yeni kaçırma ve istismar tekniklerini izlemesi ve bu teknikler siber suç mahallinde yaygınlaşmadan önce karşı önlemleri uygulaması çok önemlidir.
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.