Categorías: Informática

BlackByte Ransomware abusa de los controladores legítimos para deshabilitar las medidas de seguridad

Los piratas informáticos usan el ransomware BlackByte para abusar de los servidores legítimos y eludir las capas de seguridad.

La cepa de ransomware BlackByte es utilizada por actores maliciosos para abusar de servidores legítimos a través de una técnica conocida como «Bring Your Own Driver».

BlackByte Ransomware utilizado para eludir las capas de seguridad

El ransomware BlackByte ha estado en uso desde 2021 y actúa como una organización de ransomware como servicio. Estos grupos ofrecen productos de ransomware a otros actores malintencionados a cambio de una tarifa. BlackByte ahora vuelve a ser el centro de atención después de haber sido utilizado en una táctica conocida como «Trae tu propio conductor». En este ataque, los ciberdelincuentes aprovechan una vulnerabilidad en el controlador de la utilidad de overclocking de gráficos RTCore64.sys de Windows conocida como CVE-2021-16098.

Un ataque Bring Your Own Driver consiste en instalar una versión vulnerable del controlador RTCore64.sys en el dispositivo de la víctima. El atacante puede abusar de este controlador defectuoso mientras permanece bajo el radar del software de seguridad.

La nueva amenaza fue descubierta por Sophos, una conocida empresa de ciberseguridad. En un artículo de Sophos News, se afirmó que la vulnerabilidad CVE-2021-16098 «permite a un usuario autenticado leer y escribir en una memoria arbitraria, lo que podría explotarse para la elevación de privilegios, la ejecución de código con privilegios elevados o la divulgación de información».

BlackByte ha deshabilitado más de 1,000 controladores

Los actores de amenazas han deshabilitado con éxito más de 1,000 controladores utilizados por los productos de detección y respuesta de punto final (EDR) de la industria. Como se señaló en la publicación de Security News antes mencionada, estos productos de seguridad dependen de estos controladores para brindar protección a su clientela.

Específicamente, estas compañías monitorean el uso de llamadas API de las que se abusa con frecuencia, una función que se interrumpe a través de estos ataques Bring Your Own Driver.

BlackByte ha causado problemas en el pasado

Esta no es la primera vez que se utiliza BlackByte en ciberataques. A principios de 2022, el FBI emitió una advertencia sobre una serie de ataques de ransomware BlackByte a través del abuso de los servidores de Microsoft Exchange. La serie de exploits tuvo lugar en diciembre de 2021, durante la cual los atacantes piratearon redes corporativas utilizando tres vulnerabilidades de ProxyShell para instalar shells web en servidores comprometidos.

Desde los ataques, se han desarrollado parches para las vulnerabilidades de ProxyShell, pero eso no parece haber impedido que los operadores de BlackByte continúen con sus ataques en otros lugares.

El ransomware sigue amenazando a particulares y empresas

El ransomware tiene la capacidad de causar grandes pérdidas, ya sea en datos o activos financieros. Este tipo de ataque cibernético ahora es tan popular que se puede comprar a través de proveedores de servicios ilícitos, lo que brinda a los actores aún más maliciosos la oportunidad de explotar a las víctimas. No está claro si los operadores de BlackByte seguirán causando problemas en el futuro, pero este ataque a Windows es otro ejemplo de las capacidades de los programas de ransomware.

WP Dev JaGonzalez

Hijo, esposo y padre de un hermoso niño. Amante de los animales, la tecnología, informática y programación. Si tienes alguna duda, inquietud, comentario o deseas comunicarte directamente conmigo, puedes enviarme un correo electrónico a admin@jagonzalez.org

Entradas recientes

iPhone Hackeado: Qué Hacer para Proteger tu Dispositivo y Asegurar tu Seguridad

¿Has notado aplicaciones desconocidas o un drenaje inesperado de la batería? Estos podrían ser indicios…

3 meses hace

Cómo Restablecer un iPhone a su Estado de Fábrica

Saber cómo Restablecer un iPhone a su Estado de Fábrica es clave para solucionar problemas…

3 meses hace

Motorola planea lanzar al menos dos nuevos teléfonos Moto G en septiembre

Motorola ha confirmado el lanzamiento de Moto G84 5G y Moto G54 5G en India,…

1 año hace

El equipo de WizardLM afirma que un modelo de IA de terceros les robó el trabajo

Recuerde WizardCoder, ¿el codificador de IA que cubrimos recientemente aquí en Windows Report? Nos jactamos…

1 año hace

Las fallas del complemento Jupiter X Core amenazaron a 172.000 sitios web con apropiaciones de cuentas

Los investigadores han descubierto numerosos fallos de seguridad en el complemento WordPress Jupiter X Core…

1 año hace

Consola portátil Xbox: aquí tienes todo lo que necesitas saber al respecto

Para solucionar problemas del sistema de PC con Windows, necesitará una herramienta dedicada Fortect es…

1 año hace