Los investigadores han advertido a los usuarios sobre la nueva campaña de ransomware BlackByte que explota un controlador de Windows legítimo pero vulnerable. El ransomware utiliza esta estrategia para evadir la detección, lo que dificulta la prevención del ataque.
El ransomware BlackByte abusa de un controlador vulnerable legítimo en una campaña reciente
Según un artículo reciente de Sophos, el ransomware BlackByte ahora utiliza la técnica BYOVD (Bring Your Own Vulnerable Driver) para atacar los sistemas. Como se explicó, la última variante de ransomware BlackByte explota el controlador RTCore64.sys vulnerable en campañas recientes.
BlackByte es un poderoso malware que ha estado disponible como RaaS (ransomware-as-a-service) desde 2021. Ha utilizado varias estrategias en campañas anteriores para ejecutar sus ataques. Y ahora, la última variante de ransomware escrita en el lenguaje GO abusa del controlador RTCore64.sys de Windows para deshabilitar otros 1000 controladores que usan las soluciones antimalware durante los escaneos.
Este controlador vulnerable es utilizado por la utilidad de overclocking de la tarjeta gráfica MSI AfterBurner de Micro-Star, que controla la tarjeta gráfica. La vulnerabilidad en cuestión, CVE-2019-16098, permite que un atacante autenticado lea y escriba en memoria arbitraria, puertos de E/S y MSR. A su vez, el atacante puede ejecutar códigos con privilegios elevados en el sistema de destino. Además, los controladores vulnerables firmados permiten eludir la política de firma de controladores de Microsoft.
Por lo tanto, esta vulnerabilidad da ventaja a los atacantes de BlackByte para apuntar de manera efectiva a los sistemas sin temor a ser detectados. Pueden manipular fácilmente los controladores vulnerables para ejecutar el ransomware.
Los investigadores también notaron similitudes entre la variante BlackByte y la implementación de derivación de EDR de la herramienta EDRSandblast.
Según los investigadores, después de completar las comprobaciones antiescaneado, el ransomware intenta tomar el identificador del archivo Master Boot Record y omitir las comprobaciones de UAC para reiniciarse con mayores privilegios.
Los investigadores también compartieron algunas estrategias de defensa para prevenir los ataques de BlackByte junto con el análisis técnico detallado. Específicamente, aconsejan a los usuarios que actualicen los controladores instalados y eviten ejecutar versiones vulnerables. Los usuarios también deben continuar investigando la información de vulnerabilidades para garantizar soluciones rápidas a los controladores, ya que las vulnerabilidades de día cero en los controladores son raras.
Háganos saber sus pensamientos en los comentarios.
