Gangue de ransomware BlackByte usa técnica sofisticada para driblar detecções

Agora, há indícios de que o grupo adicionou novos métodos de ataque. Os cibercriminosos têm se aproveitado especificamente de uma vulnerabilidade no RTCorec6.sys, driver de utilitário gráfico para Windows

Compartilhar:

A Sophos anunciou que a BlackByte, uma das mais novas e perigosas gangues de ransomware, passou a utilizar uma técnica sofisticada chamada “Bring Your Own Device” (BYOD) para invadir mais de mil drivers usados por soluções de detecção e resposta de endpoint (EDR). A empresa detalha as táticas de ataque, técnicas e procedimentos (TTPs) no relatório “Remove all the Callbacks – BlackByte Ransomware Disables EDR via RTCore64.sys Abuse.”

 

A BlackByte, apresentada em um informativo do Serviço Secreto e do FBI no início deste ano como uma ameaça crítica à infraestrutura, ressurgiu em maio com um novo local de vazamento e novas táticas de extorsão. Agora, há indícios de que o grupo adicionou novos métodos de ataque. Os cibercriminosos têm se aproveitado especificamente de uma vulnerabilidade no RTCorec6.sys, driver de utilitário gráfico para Windows.

 

Esta falha permite que eles se comuniquem diretamente com o kernel do sistema invadido, forçando a desativar as rotinas de callback – uma função que é passada como parâmetro para outro método – utilizadas pelos provedores de EDR, bem como o Event Tracing for Windows (ETW), intitulado Microsoft-Windows-Threat-Intelligence-Provider. Os fornecedores de EDR utilizam frequentemente este recurso para monitorar o uso de chamadas maliciosas de API, de modo que, caso seja desativado, o EDR passa a ser ineficaz também.

 

“Se você pensar em computadores como uma fortaleza, para muitos fornecedores de EDR o ETW é a guarda no portão da frente. Se essa segurança cair, o resto do sistema fica extremamente vulnerável. E, como o ETW é utilizado por tantos fornecedores diferentes, há um grande número de alvos potenciais para a BlackByte implantar este golpe”, comenta Christopher Budd, gerente sênior de pesquisa de ameaças da Sophos.

 

A BlackByte não é a única gangue de ransomware que usa o BYOD para penetrar soluções de segurança. O AvosLocker, por exemplo, explorou uma vulnerabilidade em um driver diferente para desativar os antivírus em maio.

 

“Pelo que temos observado, parece que burlar o EDR está se tornando uma técnica mais popular para grupos de ameaça de ransomware. Isto não é surpreendente. Tais agentes utilizam ferramentas e técnicas desenvolvidas pela indústria de ‘segurança ofensiva’ para lançar ataques mais rapidamente e com o mínimo de esforço. Parece que a BlackByte criou sua metodologia de invasão de EDR a partir da ferramenta de código aberto EDRSandblast”, destaca Budd.

 

“Com os criminosos adotando o trabalho realizado pela indústria de segurança ofensiva, é fundamental que defensores monitorem novas técnicas de evasão e exploração, além de implementarem medidas para minimizar os ataques antes que essas práticas se tornem ainda mais acessíveis ao crime cibernético”, completa o executivo.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Threat Intel detecta nova técnica de ransomware executado pelo navegador

Especialistas mostram que modelo de IA conectou recursos legítimos do navegador para construir uma cadeia prática de ataque sem exploração...
Security Report | Overview

Project Lightwell: Players de TI formam parceria contra vulnerabilidades de software

Parceria une descoberta de falhas, aplicação de patches virtuais e remediação automatizada para neutralizar ameaças Cibernéticas na velocidade da inteligência...
Security Report | Overview

ANPD abre processo sancionador contra instituto de saúde por vazamento de dados

Ataque cibernético de ransomware expôs dados sensíveis de saúde de usuários de unidades públicas geridas pelo Instituto Saúde e Cidadania....
Security Report | Overview

Defesa Civil: MFA se torna demanda urgente, alerta inteligência de ameaças

Especialistas alertam para os riscos do uso de credenciais legítimas comprometidas em sistemas críticos e destacam a urgência de aplicar...