Ransomware Blackbyte elude la seguridad EDR utilizando una
vulnerabilidad de drive
El grupo detrás de un gran ataque de ransomware, BlackByte, ha recurrido a un nuevo método de ataque. "Traiga su propio driver
vulnerable" (BYOVD por sus siglas en inglés) es el nombre que se le da a
esta técnica: explotar un sistema objetivo al abusar de un driver firmado
legítimo con una vulnerabilidad explotable.
Esto permite que los ataques pasen por alto los productos de
seguridad, lo que les deja la puerta abierta para violar el sistema. Se han
explotado más de 1000 drivers utilizados en los productos de seguridad informática
debido a una vulnerabilidad encontrada en su software.
La vulnerabilidad denominada CVE-2019-16098 puede permitir
que los atacantes escalen los privilegios de la aplicación y que los atacantes
ejecuten código con privilegios elevados o divulguen información.
Los expertos en seguridad cibernética de Sophos afirmaron
que los atacantes estaban exponiendo los códigos de control de I/O directamente
a los procesos en modo usuario a través del driver que usaban los atacantes.
Los hackers pueden hacer esto sin el uso de exploits o
shellcodes, ya que la memoria del kernel se puede leer, escribir y ejecutar
directamente.
Para explotar el problema de seguridad, BlackByte
deshabilita efectivamente los drivers que impiden que varios productos EDR y
antivirus funcionen correctamente debido a la vulnerabilidad de seguridad
explotada. El ataque de BlackByte se centra donde el sistema de protección está
deshabilitado.
Sugerimos lo siguiente para defenderse proactivamente contra
este tipo de ataques:
Los actores de amenazas rara vez implementan drivers
legítimos con vulnerabilidades zero-day. Por lo general, las vulnerabilidades
de los ataques son bien conocidas y están documentadas. Al realizar un
seguimiento de las últimas noticias de seguridad, puede prepararse de antemano
e investigar qué drivers legítimos están siendo explotados actualmente por los
actores de amenazas, por ejemplo, al incluir en la lista de bloqueo los drivers
que se sabe que son explotables.
Mantenga siempre un registro de los drivers instalados en
sus sistemas, controle los eventos de instalación de todos los drivers y analícelos
periódicamente. Los drivers legítimos vulnerables también se pueden instalar en
el sistema de destino de antemano, de modo que no es necesario que los actores
de amenazas los coloquen en el sistema de destino. Por lo tanto, siempre debe
mantener su sistema actualizado.
Para más información sobre acciones de mitigación y
prevención, contacte con nuestros expertos.
Fuentes: https://gbhackers.com/blackbyte-ransomware-bypass-edr-security/
https://news.sophos.com/en-us/2022/10/04/blackbyte-ransomware-returns/
Imagen: https://visualhunt.com/f7/photo/48630089568/b756092f31/
