A Sophos anunciou que a BlackByte, uma das mais novas e perigosas gangues de ransomware, passou a utilizar uma técnica sofisticada chamada “Bring Your Own Device” (BYOD) para invadir mais de mil drivers usados por soluções de detecção e resposta de endpoint (EDR). A empresa detalha as táticas de ataque, técnicas e procedimentos (TTPs) no relatório “Remove all the Callbacks – BlackByte Ransomware Disables EDR via RTCore64.sys Abuse.”
A BlackByte, apresentada em um informativo do Serviço Secreto e do FBI no início deste ano como uma ameaça crítica à infraestrutura, ressurgiu em maio com um novo local de vazamento e novas táticas de extorsão. Agora, há indícios de que o grupo adicionou novos métodos de ataque. Os cibercriminosos têm se aproveitado especificamente de uma vulnerabilidade no RTCorec6.sys, driver de utilitário gráfico para Windows.
Esta falha permite que eles se comuniquem diretamente com o kernel do sistema invadido, forçando a desativar as rotinas de callback – uma função que é passada como parâmetro para outro método – utilizadas pelos provedores de EDR, bem como o Event Tracing for Windows (ETW), intitulado Microsoft-Windows-Threat-Intelligence-Provider. Os fornecedores de EDR utilizam frequentemente este recurso para monitorar o uso de chamadas maliciosas de API, de modo que, caso seja desativado, o EDR passa a ser ineficaz também.
“Se você pensar em computadores como uma fortaleza, para muitos fornecedores de EDR o ETW é a guarda no portão da frente. Se essa segurança cair, o resto do sistema fica extremamente vulnerável. E, como o ETW é utilizado por tantos fornecedores diferentes, há um grande número de alvos potenciais para a BlackByte implantar este golpe”, comenta Christopher Budd, gerente sênior de pesquisa de ameaças da Sophos.
A BlackByte não é a única gangue de ransomware que usa o BYOD para penetrar soluções de segurança. O AvosLocker, por exemplo, explorou uma vulnerabilidade em um driver diferente para desativar os antivírus em maio.
“Pelo que temos observado, parece que burlar o EDR está se tornando uma técnica mais popular para grupos de ameaça de ransomware. Isto não é surpreendente. Tais agentes utilizam ferramentas e técnicas desenvolvidas pela indústria de ‘segurança ofensiva’ para lançar ataques mais rapidamente e com o mínimo de esforço. Parece que a BlackByte criou sua metodologia de invasão de EDR a partir da ferramenta de código aberto EDRSandblast”, destaca Budd.
“Com os criminosos adotando o trabalho realizado pela indústria de segurança ofensiva, é fundamental que defensores monitorem novas técnicas de evasão e exploração, além de implementarem medidas para minimizar os ataques antes que essas práticas se tornem ainda mais acessíveis ao crime cibernético”, completa o executivo.
