Gangue de ransomware BlackByte usa técnica sofisticada para driblar detecções

Agora, há indícios de que o grupo adicionou novos métodos de ataque. Os cibercriminosos têm se aproveitado especificamente de uma vulnerabilidade no RTCorec6.sys, driver de utilitário gráfico para Windows

Compartilhar:

A Sophos anunciou que a BlackByte, uma das mais novas e perigosas gangues de ransomware, passou a utilizar uma técnica sofisticada chamada “Bring Your Own Device” (BYOD) para invadir mais de mil drivers usados por soluções de detecção e resposta de endpoint (EDR). A empresa detalha as táticas de ataque, técnicas e procedimentos (TTPs) no relatório “Remove all the Callbacks – BlackByte Ransomware Disables EDR via RTCore64.sys Abuse.”

 

A BlackByte, apresentada em um informativo do Serviço Secreto e do FBI no início deste ano como uma ameaça crítica à infraestrutura, ressurgiu em maio com um novo local de vazamento e novas táticas de extorsão. Agora, há indícios de que o grupo adicionou novos métodos de ataque. Os cibercriminosos têm se aproveitado especificamente de uma vulnerabilidade no RTCorec6.sys, driver de utilitário gráfico para Windows.

 

Esta falha permite que eles se comuniquem diretamente com o kernel do sistema invadido, forçando a desativar as rotinas de callback – uma função que é passada como parâmetro para outro método – utilizadas pelos provedores de EDR, bem como o Event Tracing for Windows (ETW), intitulado Microsoft-Windows-Threat-Intelligence-Provider. Os fornecedores de EDR utilizam frequentemente este recurso para monitorar o uso de chamadas maliciosas de API, de modo que, caso seja desativado, o EDR passa a ser ineficaz também.

 

“Se você pensar em computadores como uma fortaleza, para muitos fornecedores de EDR o ETW é a guarda no portão da frente. Se essa segurança cair, o resto do sistema fica extremamente vulnerável. E, como o ETW é utilizado por tantos fornecedores diferentes, há um grande número de alvos potenciais para a BlackByte implantar este golpe”, comenta Christopher Budd, gerente sênior de pesquisa de ameaças da Sophos.

 

A BlackByte não é a única gangue de ransomware que usa o BYOD para penetrar soluções de segurança. O AvosLocker, por exemplo, explorou uma vulnerabilidade em um driver diferente para desativar os antivírus em maio.

 

“Pelo que temos observado, parece que burlar o EDR está se tornando uma técnica mais popular para grupos de ameaça de ransomware. Isto não é surpreendente. Tais agentes utilizam ferramentas e técnicas desenvolvidas pela indústria de ‘segurança ofensiva’ para lançar ataques mais rapidamente e com o mínimo de esforço. Parece que a BlackByte criou sua metodologia de invasão de EDR a partir da ferramenta de código aberto EDRSandblast”, destaca Budd.

 

“Com os criminosos adotando o trabalho realizado pela indústria de segurança ofensiva, é fundamental que defensores monitorem novas técnicas de evasão e exploração, além de implementarem medidas para minimizar os ataques antes que essas práticas se tornem ainda mais acessíveis ao crime cibernético”, completa o executivo.

Conteúdos Relacionados

Security Report | Overview

CTIR Gov orienta governo a monitorar sistemas de proteção após Apagão Cibernético

Com a identificação do incidente que colheu a plataforma Falcon, da CrowdStrike, e da Microsoft, O órgão de Prevenção a...
Security Report | Overview

Incidentes de TI estão no topo dos riscos para a continuidade dos negócios, aponta pesquisa

1ª Pesquisa Nacional sobre Maturidade em Gestão de Crises e Continuidade de Negócios, apresentada no segundo trimestre deste ano, identifica...
Security Report | Overview

54% das empresas consideram erros humanos um vetor crítico de ciberataques

Estudo da ManageEngine revelou que ameaças externas ainda são a maioria entre os golpes realizados, mas falhas de funcionários preocupam
Security Report | Overview

Apenas 23% das senhas ativas exigem mais de um ano para serem decifradas

Levantamento da Kaspersky analisa 193 milhões de senhas na darknet e indica que 87 milhões delas poderiam ser descobertas em...