خبر و ترفند روز

خبر و ترفند های روز را اینجا بخوانید!

باج افزار BlackByte از رانندگان قانونی برای غیرفعال کردن اقدامات امنیتی سوء استفاده می کند

ارشیا یوسفی ادیب ۶ آبان, ۱۴۰۱ 3 min read

عوامل تهدید از باج افزار BlackByte برای سوء استفاده از سرورهای قانونی و دور زدن لایه های امنیتی استفاده می کنند.

سویه باج‌افزار BlackByte توسط عوامل مخرب برای سوء استفاده از سرورهای قانونی از طریق تکنیکی به نام «درایور خود را بیاورید» استفاده می‌شود.

باج افزار BlackByte برای دور زدن لایه های امنیتی استفاده می شود

باج افزار BlackByte از سال 2021 مورد استفاده قرار گرفته است و به عنوان یک سازمان باج افزار به عنوان یک سرویس عمل می کند. این گروه‌ها محصولات باج‌افزاری را در ازای پرداختی به دیگر عوامل مخرب ارائه می‌کنند. BlackByte اکنون پس از استفاده در تاکتیکی به نام “درایور خود را بیاور” در کانون توجه قرار گرفته است. در این حمله، مجرمان سایبری از یک آسیب پذیری در درایور ابزار اورکلاکینگ گرافیک ویندوز RTCore64.sys به نام CVE-2021-16098 سوء استفاده می کنند.

حمله Bring Your Own Driver شامل نصب یک نسخه آسیب پذیر از درایور RTCore64.sys بر روی دستگاه قربانی است. سپس مهاجم می تواند از این درایور معیوب سوء استفاده کند و در عین حال زیر رادار نرم افزار امنیتی نیز بماند.

تهدید جدید توسط Sophos، یک شرکت امنیت سایبری معروف کشف شد. در یک پست Sophos News، بیان شد که آسیب‌پذیری CVE-2021-16098 به یک کاربر تأیید شده اجازه می‌دهد تا در حافظه دلخواه بخواند و بنویسد، که می‌تواند برای افزایش امتیاز، اجرای کد تحت امتیازات بالا یا افشای اطلاعات مورد سوء استفاده قرار گیرد.

بیش از 1000 درایور توسط BlackByte غیرفعال شده است

گرافیک قفل قفل با جمجمه پیچیده شده در زنجیر

عوامل تهدید موفق شده اند بیش از 1000 درایور مورد استفاده توسط محصولات تشخیص و پاسخ نقطه پایانی صنعت (EDR) را غیرفعال کنند. همانطور که در پست امنیتی فوق ذکر شد، چنین محصولات امنیتی برای محافظت از مشتریان خود به این درایورها متکی هستند.

مطلب مرتبط:   نحوه ایمن سازی برنامه های Node.js: 3 رویکرد انعطاف پذیر

به طور خاص، این شرکت‌ها استفاده از تماس‌های API را که اغلب مورد سوء استفاده قرار می‌گیرند، نظارت می‌کنند، عملکردی که از طریق حملات Bring Your Own Driver متوقف می‌شود.

BlackByte در گذشته مشکلاتی را ایجاد کرده است

این اولین بار نیست که از BlackByte در حملات سایبری استفاده می شود. در اوایل سال 2022، FBI هشداری درباره یک رشته حملات باج افزار بلک بایت از طریق سوء استفاده از سرورهای Microsoft Exchange صادر کرد. مجموعه ای از سوء استفاده ها در دسامبر 2021 اتفاق افتاد که در آن مهاجمان با استفاده از سه آسیب پذیری ProxyShell به شبکه های شرکتی نفوذ می کردند تا پوسته های وب را روی سرورهای در معرض خطر نصب کنند.

از زمان حملات، وصله‌هایی برای آسیب‌پذیری‌های ProxyShell ایجاد شده‌اند، اما به نظر نمی‌رسد که این امر اپراتورهای BlackByte را از ادامه حملات خود در جاهای دیگر بازدارد.

باج افزار همچنان افراد و شرکت ها را به طور یکسان تهدید می کند

باج افزار این توانایی را دارد که خسارات زیادی را، چه در داده ها و چه در دارایی های مالی، ایجاد کند. این نوع از حملات سایبری اکنون به قدری محبوب شده است که می توان آن را از طریق ارائه دهندگان خدمات غیرقانونی خریداری کرد و حتی به عوامل مخرب تر توانایی سوء استفاده از قربانیان را می دهد. مشخص نیست که آیا اپراتورهای BlackByte همچنان در آینده مشکل ایجاد خواهند کرد یا خیر، اما این حمله ویندوز به عنوان نمونه دیگری از قابلیت های برنامه های باج افزار است.

مطلب مرتبط:   مراقب این 5 کلاهبرداری نظر YouTube باشید
Tags: