Hackers han encontrado una forma de atacar mediante un fallo de seguridad ha permitido a una banda de ransomware impedir eficazmente que los programas antivirus funcionen correctamente en un sistema.
El grupo de ransomware BlackByte está utilizando un método recién descubierto relacionado con el controlador RTCore64.sys para eludir más de 1.000 controladores legítimos.
Los programas de seguridad que dependen de estos controladores son, por tanto, incapaces de detectar una brecha, y los investigadores califican esta técnica de «Bring Your Own Driver».
Una vez que los controladores han sido desactivados por los hackers, pueden operar bajo el radar debido a la falta de detección y respuesta de múltiples puntos finales (EDR). Los controladores vulnerables son capaces de pasar una inspección a través de un certificado válido, y también cuentan con altos privilegios en el propio PC.
Los investigadores de la empresa de ciberseguridad Sophos detallan que el controlador gráfico MSI que es objetivo de la banda de ransomware ofrece códigos de control de E/S a los que se puede acceder a través de procesos en modo usuario. Sin embargo, este elemento infringe las directrices de seguridad de Microsoft sobre el acceso a la memoria del núcleo.
Gracias al exploit, los actores de la amenaza pueden leer, escribir o ejecutar código libremente dentro de la memoria del núcleo del sistema.
Naturalmente, BlackByte quiere evitar ser detectado para que sus hacks no sean analizados por los investigadores, declaró Sophos – la compañía señaló que los atacantes buscan cualquier depurador que se ejecute en el sistema y luego lo abandonan.
Además, el malware del grupo escanea el sistema en busca de cualquier DLL de enganche potencial conectado a Avast, Sandboxie, Windows DbgHelp Library y Comodo Internet Security. Si se encuentra alguno en la búsqueda, BlackByte desactiva su capacidad de funcionamiento.
Debido a la naturaleza sofisticada de la técnica utilizada por los actores de la amenaza, Sophos advirtió que seguirán explotando los controladores legítimos para eludir los productos de seguridad. Anteriormente, el método «Bring Your Own Driver» fue visto siendo utilizado por el grupo de hackers norcoreano Lazarus, que involucró a un controlador de hardware de Dell.
Bleeping Computer destaca cómo los administradores de sistemas pueden proteger sus PCs poniendo el controlador MSI (RTCore64.sys) que está siendo atacado en una lista de bloqueo activa.
- BeReal ¿Están las marcas preparadas para ser reales?
- Estas son las tendencias en TikTok de este mes
- TikTok, el motor de búsqueda para la generación Z
- TikTok la plataforma que están cambiando la forma de viajar
- Esto tienes que hacer para ganar dinero en TikTok
Los esfuerzos de BlackByte en materia de ransomware salieron a la luz por primera vez en 2021, cuando el FBI subrayó que el grupo de hackers estaba detrás de ciertos ciberataques al gobierno.