Hackers encontraram uma maneira de hackear você que você nunca esperaria
Uma falha de segurança permitiu que uma gangue de ransomware impedisse efetivamente que programas antivírus fossem executados corretamente em um sistema.
Conforme relatado pelo Bleeping Computer , o grupo de ransomware BlackByte está utilizando um método recém-descoberto relacionado ao driver RTCore64.sys para contornar mais de 1.000 drivers legítimos.
Os programas de segurança que dependem desses drivers são, portanto, incapazes de detectar uma violação, com a própria técnica sendo rotulada como “Traga seu próprio driver” pelos pesquisadores.
Uma vez que os drivers foram desligados pelos hackers, eles podem operar sob o radar devido à falta de detecção e resposta de múltiplos terminais (EDR). Os drivers vulneráveis são capazes de passar por uma inspeção por meio de um certificado válido e também possuem altos privilégios no próprio PC.
Pesquisadores da empresa de segurança cibernética Sophos detalham como o driver gráfico MSI visado pela gangue do ransomware oferece códigos de controle de E/S que podem ser acessados por meio de processos no modo de usuário. No entanto, esse elemento viola as diretrizes de segurança da Microsoft sobre acesso à memória do kernel.
Devido à exploração, os agentes de ameaças podem ler, escrever ou executar livremente código na memória do kernel de um sistema.
A BlackByte está naturalmente interessada em evitar ser detectada para não ter seus hacks analisados pelos pesquisadores, afirmou a Sophos – a empresa apontou para invasores que procuram por depuradores em execução no sistema e depois desistem.
Além disso, o malware do grupo verifica o sistema em busca de possíveis DLLs conectadas ao Avast, Sandboxie, Windows DbgHelp Library e Comodo Internet Security. Caso algum seja encontrado pela pesquisa, o BlackByte desativa sua capacidade de funcionar.
Devido à natureza sofisticada da técnica usada pelos agentes de ameaças, a Sophos alertou que eles continuarão a explorar drivers legítimos para contornar produtos de segurança. Anteriormente, o método “Bring Your Own Driver” foi visto sendo usado pelo grupo de hackers norte-coreano Lazarus, que envolvia um driver de hardware da Dell.
Bleeping Computer destaca como os administradores de sistema podem proteger seus PCs colocando o driver MSI (RTCore64.sys) que está sendo direcionado em uma lista de bloqueio ativa.
Os esforços de ransomware da BlackByte vieram à tona em 2021, com o FBI enfatizando que o grupo de hackers estava por trás de certos ataques cibernéticos ao governo.