La cepa de ransomware BlackByte está siendo utilizada por actores maliciosos para abusar de servidores legítimos a través de una técnica conocida como "Bring Your Own Driver".
BlackByte Ransomware utilizado para eludir las capas de seguridad
El ransomware BlackByte ha estado en uso desde 2021 y actúa como una organización de ransomware como servicio. Estos grupos ofrecen productos de ransomware a otros actores malintencionados a cambio de una tarifa. BlackByte ahora vuelve a ser el centro de atención después de haber sido utilizado en una táctica conocida como "Trae tu propio conductor". En este ataque, los ciberdelincuentes están explotando una vulnerabilidad dentro del controlador de utilidad de overclocking de gráficos de Windows RTCore64.sys conocido como CVE-2021-16098.
Un ataque Bring Your Own Driver consiste en instalar una versión vulnerable del controlador RTCore64.sys en el dispositivo de la víctima. El atacante puede entonces abusar de este controlador defectuoso mientras permanece fuera del radar del software de seguridad.
La nueva amenaza fue descubierta por Sophos, una conocida firma de ciberseguridad. En una publicación de Sophos News, se afirmó que la vulnerabilidad CVE-2021-16098 "permite que un usuario autenticado lea y escriba en una memoria arbitraria, lo que podría explotarse para la escalada de privilegios, la ejecución de código con privilegios elevados o la divulgación de información".
BlackByte ha desactivado más de 1000 controladores
Los actores de amenazas han logrado deshabilitar más de 1,000 controladores utilizados por los productos de detección y respuesta de punto final (EDR) de la industria. Como se indica en la publicación Security News antes mencionada, dichos productos de seguridad dependen de estos controladores para brindar protección a su clientela.
Específicamente, estas compañías monitorean el uso de llamadas API de las que se abusa con frecuencia, una función que se detiene a través de estos ataques Bring Your Own Driver.
BlackByte ha causado problemas en el pasado
Esta no es la primera vez que BlackByte se utiliza en ciberataques. A principios de 2022, el FBI emitió una advertencia sobre una serie de ataques de ransomware BlackByte a través del abuso de los servidores de Microsoft Exchange. La serie de exploits tuvo lugar en diciembre de 2021, en la que los atacantes violaron las redes corporativas utilizando tres vulnerabilidades de ProxyShell para instalar shells web en servidores comprometidos.
Desde los ataques, se han desarrollado parches para las vulnerabilidades de ProxyShell, pero esto no parece haber impedido que los operadores de BlackByte continúen con sus ataques en otros lugares.
Ransomware continúa amenazando a individuos y empresas por igual
El ransomware tiene la capacidad de causar grandes pérdidas, ya sea en datos o en activos financieros. Este tipo de ataque cibernético ahora es tan popular que se puede comprar a través de proveedores de servicios ilícitos, lo que brinda a los actores aún más maliciosos la capacidad de explotar a las víctimas. No se sabe si los operadores de BlackByte seguirán causando problemas en el futuro, pero este ataque a Windows es otro ejemplo de las capacidades de los programas de ransomware.
Noticias relacionadas: