BlackByte fidye yazılımı türü, kötü niyetli aktörler tarafından "Kendi Sürücünüzü Getirin" olarak bilinen bir teknikle meşru sunucuları kötüye kullanmak için kullanılıyor.
Güvenlik Katmanlarını Aşmak İçin Kullanılan BlackByte Fidye Yazılımı
BlackByte fidye yazılımı 2021'den beri kullanılmaktadır ve hizmet olarak fidye yazılımı organizasyon. Bu gruplar, diğer kötü niyetli aktörlere bir ücret karşılığında fidye yazılımı ürünleri sunmaktadır. BlackByte, "Kendi Sürücünü Getir" olarak bilinen bir taktikte kullanıldıktan sonra artık yeniden ilgi odağı haline geldi. Bu saldırıda siber suçlular, CVE-2021-16098 olarak bilinen RTCore64.sys Windows grafik hız aşırtma yardımcı programı sürücüsündeki bir güvenlik açığından yararlanıyor.
Kendi Sürücünüzü Getirin saldırısı, kurbanın aygıtına RTCore64.sys sürücüsünün savunmasız bir sürümünün yüklenmesini içerir. Saldırgan daha sonra, güvenlik yazılımının radarı altında kalarak bu kusurlu sürücüyü kötüye kullanabilir.
Yeni tehdit, tanınmış bir siber güvenlik firması olan Sophos tarafından keşfedildi. İçinde
Sophos Haber gönderisi, CVE-2021-16098 güvenlik açığının "kimliği doğrulanmış bir kullanıcının keyfi olarak okumasına ve yazmasına izin verdiği" belirtildi. ayrıcalık yükseltme, yüksek ayrıcalıklar altında kod yürütme veya bilgi için kullanılabilecek bellek ifşa".1.000'den Fazla Sürücü BlackByte Tarafından Devre Dışı Bırakıldı
Tehdit aktörleri, endüstri uç nokta algılama ve yanıt (EDR) ürünleri tarafından kullanılan 1.000'den fazla sürücüyü devre dışı bırakmayı başardı. Yukarıda belirtilen Güvenlik Haberleri gönderisinde belirtildiği gibi, bu tür güvenlik ürünleri, müşterilerine koruma sağlamak için bu sürücülere güvenir.
Özellikle bu şirketler, Kendi Sürücüsünü Getir saldırıları aracılığıyla durdurulan bir işlev olan sık sık kötüye kullanılan API çağrılarının kullanımını izliyor.
BlackByte Geçmişte Sorunlara Neden Oldu
Bu, BlackByte'ın siber saldırılarda ilk kez kullanılışı değil. 2022'nin başlarında FBI, aracılığıyla gerçekleşen bir dizi BlackByte fidye yazılımı saldırısı hakkında bir uyarı yayınladı. Microsoft Exchange sunucularının kötüye kullanılması. Aralık 2021'de, saldırganların güvenliği ihlal edilmiş sunuculara web kabukları yüklemek için üç ProxyShell güvenlik açığı kullanarak kurumsal ağları ihlal ettiği bir dizi istismar gerçekleşti.
Saldırılardan bu yana, ProxyShell güvenlik açıkları için yamalar geliştirildi, ancak bu, BlackByte operatörlerinin saldırılarını başka yerlerde sürdürmelerini engellemiş görünmüyor.
Fidye Yazılımları Hem Bireyleri Hem de Şirketleri Benzer Şekilde Tehdit Etmeye Devam Ediyor
Fidye yazılımı, verilerde veya finansal varlıklarda büyük kayıplara neden olma yeteneğine sahiptir. Bu tür siber saldırılar artık o kadar popüler ki, yasa dışı hizmet sağlayıcılar aracılığıyla satın alınabiliyor ve bu da daha da kötü niyetli aktörlere kurbanları istismar etme yeteneği veriyor. BlackByte operatörlerinin gelecekte sorun çıkarmaya devam edip etmeyeceği bilinmiyor ancak bu Windows saldırısı, fidye yazılımı programlarının yeteneklerinin bir başka örneği olarak duruyor.