BlackByte, una delle nuove bande di ransomware “heavy-hitter”, ha aggiunto una sofisticata tecnica “Bring Your Own Driver” per aggirare più di 1.000 driver utilizzati dai prodotti EDR (Endpoint Detection and Response) del settore.

Gli esperti di Sophos hanno osservato che ora il gruppo sembra abbia aggiunto nuovi metodi di attacco. In particolare, hanno abusato di una vulnerabilità in RTCorec6.sys, un driver di utilità grafica per i sistemi Windows. Questa particolare vulnerabilità permette loro di comunicare direttamente con il kernel del sistema di destinazione, ordinandogli di disabilitare le routine di callback utilizzate dai provider EDR, nonché ETW (Event Tracing for Windows) Microsoft-Windows-Threat-Intelligence-Provider. I ricercatori spiegano che i fornitori di EDR utilizzano frequentemente questa funzione per monitorare l’uso di chiamate API comunemente maltrattate. Laddove questa funzionalità è disabilitata, anche i fornitori di EDR che si basano su questa funzionalità vengono resi inefficaci.

Poiché ETW è utilizzato da così tanti provider diversi, il pool di potenziali obiettivi di BlackByte per l’implementazione di questo bypass EDR è enorme.

BlackByte non è l’unica banda di ransomware che sfrutta il “Bring Your Own Driver” per aggirare i prodotti di sicurezza. Nel mese di maggio anche AvosLocker aveva abusato di una vulnerabilità in un driver diverso per disabilitare le soluzioni antivirus.

“Aneddoticamente, da quello che stiamo vedendo sul campo, sembra che il bypass EDR stia diventando una tecnica più popolare per i gruppi di minacce ransomware. Questo non è sorprendente. Gli attori delle minacce spesso sfruttano strumenti e tecniche sviluppati dal settore della “sicurezza offensiva” per lanciare attacchi più velocemente e con il minimo sforzo. In effetti, sembra che BlackByte abbia estratto almeno parte della sua implementazione di bypass EDR dallo strumento open source EDRSandblast”, ha commentato Christopher Budd, senior manager, Threat Research, Sophos. “Con i criminali che adottano il lavoro svolto dall’industria della sicurezza offensiva, è fondamentale per i difensori monitorare le nuove tecniche di evasione e sfruttamento e implementare le mitigazioni prima che queste tecniche diventino ampiamente disponibili sulla scena del crimine informatico”.

 

https://www.sophos.com/en-us/press-office/press-releases/2022/10/blackbyte-ransomware-gang-adds-bring-your-own-driver-technique

Twitter
Visit Us
LinkedIn
Share
YOUTUBE