БлацкБите рансомваре сој користе злонамерни актери да злоупотребе легитимне сервере помоћу технике познате као „Донеси свог возача“.
БлацкБите Рансомваре који се користи за заобилажење безбедносних слојева
БлацкБите рансомваре је у употреби од 2021. године и делује као а рансомваре-ас-а-сервице организација. Ове групе нуде производе за рансомваре другим злонамерним актерима уз накнаду. БлацкБите је сада поново у центру пажње након што је коришћен у тактици познатој као „Доведи свог возача“. У овом нападу, сајбер криминалци искоришћавају рањивост унутар управљачког програма Виндовс графичког оверцлоцкинг програма РТЦоре64.сис познатог као ЦВЕ-2021-16098.
Напад Бринг Иоур Овн Дривер укључује инсталирање рањиве верзије управљачког програма РТЦоре64.сис на уређај жртве. Нападач тада може да злоупотреби овај неисправан драјвер док истовремено остаје испод радара безбедносног софтвера.
Нову претњу је открила Сопхос, позната фирма за сајбер безбедност. У а Сопхос Невс пост, наведено је да ЦВЕ-2021-16098 рањивост „омогућава аутентификованом кориснику да чита и пише у произвољно меморија, која би се могла искористити за ескалацију привилегија, извршавање кода под високим привилегијама или информације обелодањивање“.
Преко 1.000 драјвера је онемогућио БлацкБите
Актери претњи успели су да онеспособе преко 1.000 драјвера које користе производи за откривање крајњих тачака и одговор (ЕДР). Као што је наведено у претходно поменутом посту безбедносних вести, такви безбедносни производи се ослањају на ове управљачке програме како би пружили заштиту својој клијентели.
Конкретно, ове компаније надгледају употребу често злоупотребљаваних АПИ позива, функцију која се зауставља путем ових напада Бринг Иоур Овн Дривер.
БлацкБите је изазвао проблеме у прошлости
Ово није први пут да се БлацкБите користи у сајбер нападима. Почетком 2022. ФБИ је издао упозорење о низу БлацкБите рансомвер напада који се одвијају преко злоупотреба Мицрософт Екцханге сервера. Серија експлоатација догодила се у децембру 2021. године, када су нападачи провалили корпоративне мреже користећи три прокиСхелл рањивости да инсталирају веб шкољке на компромитоване сервере.
Од напада, развијене су закрпе за рањивости ПрокиСхелл-а, али изгледа да то није спречило БлацкБите оператере да наставе са нападима на другим местима.
Рансомваре наставља да прети како појединцима тако и компанијама
Рансомваре има способност да изазове огромне губитке, било да се ради о подацима или финансијским фондовима. Ова врста сајбер напада је сада толико популарна да се може купити преко незаконитих провајдера услуга, дајући још више злонамерних актера могућност да искористе жртве. Није познато да ли ће БлацкБите оператери наставити да изазивају проблеме у будућности, али овај напад на Виндовс представља још један пример могућности рансомваре програма.
