BlackByte ha añadido una nueva técnica para desviar controladores utilizados por productos de detección y respuesta de extremos de la industria. Y en línea con lo anterior, la empresa Sophos detalló las técnicas y procedimientos de ataque en un reciente informe.
BlackByte es un grupo relativamente nuevo de ransomware, aparecieron en un especial del servicio secreto y el FBI a principios de año. Pero en esta ocasión añadieron una nueva técnica llamada “Bring your own driver” para desviar más de mil controladores utilizados por los productos de detección y respuesta de extremos (EDR) de la industria.
Este grupo ya ha protagonizado varios incidentes y ahora tienen nuevos métodos de ataque. En esta ocasión han aprovechado la vulnerabilidad en RTCore6.sys, un controlador de utilizades gráficas para sistemas Windows.
Echando un vistazo a la CVE-2019-16098
Estos controladores son utilizados por MSI Afterburner, una utilidad de monitoreo y overclocking de tarjetas gráficas. La exposición permite que un usuario autentificado lea y escriba en una memoria arbitraria, pudiendo escalar privilegios o divulgar información.
Con esta vulnerabilidad logran comunicarse directamente con el Kernel del sistema, ordenándole deshabilitar las rutinas de devolución de llamada que utilizan los proveedores EDR (Endpoint Detection and Response), como el seguimiento de eventos de Windows. (Microsoft-Windows-Threat-Intelligence-Provider).
Normalmente esta función se utiliza para controlar el uso de llamadas API que abusan maliciosamente. Al estar deshabilitada, los proveedores de EDR que dependen de ella también son ineficaces.
Esta vulnerabilidad también fue utilizada por el grupo Avos Locker para un controlador diferente, y así deshabilitar a las soluciones de antivirus.
¿Conocías alguna de estas familias de ransomware?
