BlackByte sfrutta i driver per bypassare i sistemi di sicurezza

Si torna a parlare di BlackByte, uno dei ransomware più temuti degli ultimi tempi e più volte salito agli onori della cronaca per gli attacchi messi a segno. Stando a quanto segnalato dai ricercatori di Sophos, i malintenzionati alle spalle della minaccia stanno sfruttando una nuova tecnica che è stata identificata con il nome di Bring Your Own Driver (BYOVD), la quale consente di bypassare le protezioni di sistemi e software di sicurezza disabilitando più di 1.000 driver.

BlackByte disattiva oltre 1.000 driver

Andando più nello specifico, i recenti attacchi attribuiti a BlackByte hanno coinvolto una versione del driver MSI Afterburner RTCore64.sys, la quale è vulnerabile a un'escalation di privilegi, e a un errore di esecuzione del codice siglato come CVE-2019-16098. Sfruttando questi difetti di sicurezza i malintenzionati possono disattivare i driver che impediscono il rilevamento e la risposta di più endpoint (EDR) e che impediscono ai prodotti antivirus di funzionare normalmente.

Per fare un esempio concreto, il driver grafico MSI offre codici di controllo I/O direttamente accessibili dai processi in modalità utente, cosa che viola le linee guida di sicurezza di Microsoft relativamente all’accesso alla memoria del kernel, permettendo ai malintenzionati di leggere, scrivere o eseguire codice su di esso senza usare il codice di shello o un exploit.

Da notare che il metodo Bring Your Own Vulnerable Driver è efficace perché i driver vulnerabili sono firmati con un certificato valido e vengono eseguiti con privilegi elevati sul sistema.

Anche se BlackByte è capace di aggirare molti antivirus, è comunque sempre bene installare sul proprio computer una soluzione del genere, come nel caso dell’ottimo Norton 360 Premium che offre pure una VPN, un firewall e un sistema di rilevamento in tempo reale.