Strain ransomware BlackByte digunakan oleh aktor jahat untuk menyalahgunakan server yang sah melalui teknik yang dikenal sebagai "Bawa Pengemudi Anda Sendiri".
Ransomware BlackByte Digunakan untuk Melewati Lapisan Keamanan
BlackByte ransomware telah digunakan sejak 2021 dan bertindak sebagai a ransomware-sebagai-layanan organisasi. Grup ini menawarkan produk ransomware kepada aktor jahat lainnya dengan biaya tertentu. BlackByte kini kembali menjadi sorotan setelah digunakan dalam taktik yang dikenal dengan nama “Bring Your Own Driver”. Dalam serangan ini, penjahat dunia maya mengeksploitasi kerentanan dalam driver utilitas overclocking grafis RTCore64.sys Windows yang dikenal sebagai CVE-2021-16098.
Serangan Bring Your Own Driver melibatkan penginstalan versi rentan dari driver RTCore64.sys ke perangkat korban. Penyerang kemudian dapat menyalahgunakan driver yang cacat ini sambil tetap berada di bawah radar perangkat lunak keamanan.
Ancaman baru ditemukan oleh Sophos, sebuah perusahaan cybersecurity terkenal. Di sebuah
Posting Berita Sophos, dinyatakan bahwa kerentanan CVE-2021-16098 "memungkinkan pengguna yang diautentikasi untuk membaca dan menulis ke sewenang-wenang memori, yang dapat dieksploitasi untuk peningkatan hak istimewa, eksekusi kode dengan hak istimewa tinggi, atau informasi penyingkapan".Lebih dari 1.000 Driver Telah Dinonaktifkan oleh BlackByte
Pelaku ancaman telah berhasil menonaktifkan lebih dari 1.000 driver yang digunakan oleh produk endpoint detection and response (EDR) industri. Seperti yang dinyatakan dalam postingan Berita Keamanan tersebut, produk keamanan semacam itu mengandalkan driver ini untuk memberikan perlindungan kepada klien mereka.
Secara khusus, perusahaan-perusahaan ini memantau penggunaan panggilan API yang sering disalahgunakan, sebuah fungsi yang dihentikan melalui serangan Bring Your Own Driver ini.
BlackByte Telah Menyebabkan Masalah di Masa Lalu
Ini bukan pertama kalinya BlackByte digunakan dalam serangan siber. Pada awal 2022, FBI mengeluarkan peringatan tentang serangkaian serangan ransomware BlackByte yang terjadi melalui penyalahgunaan server Microsoft Exchange. Serangkaian eksploitasi terjadi pada Desember 2021, di mana penyerang menerobos jaringan perusahaan menggunakan tiga kerentanan ProxyShell untuk memasang cangkang web di server yang disusupi.
Sejak serangan, tambalan telah dikembangkan untuk kerentanan ProxyShell, tetapi ini tampaknya tidak menghentikan operator BlackByte untuk melanjutkan serangan mereka di tempat lain.
Ransomware Terus Mengancam Individu dan Perusahaan
Ransomware memiliki kemampuan untuk menyebabkan kerugian besar, baik dalam kepemilikan data maupun keuangan. Jenis serangan dunia maya ini sekarang sangat populer sehingga dapat dibeli melalui penyedia layanan terlarang, memberikan lebih banyak lagi aktor jahat kemampuan untuk mengeksploitasi korban. Tidak diketahui apakah operator BlackByte akan terus menimbulkan masalah di masa mendatang, tetapi serangan Windows ini merupakan contoh lain dari kemampuan program ransomware.
