Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

BlackByte sfrutta i driver per bypassare i sistemi di sicurezza

Il ransomware BlackByte è adesso in grado bypassare le protezioni di sistemi e software di sicurezza disabilitando oltre 1.000 driver.
BlackByte sfrutta i driver per bypassare i sistemi di sicurezza
Il ransomware BlackByte è adesso in grado bypassare le protezioni di sistemi e software di sicurezza disabilitando oltre 1.000 driver.
Link copiato negli appunti

Si torna a parlare di BlackByte, uno dei ransomware più temuti degli ultimi tempi e più volte salito agli onori della cronaca per gli attacchi messi a segno. Stando a quanto segnalato dai ricercatori di Sophos, i malintenzionati alle spalle della minaccia stanno sfruttando una nuova tecnica che è stata identificata con il nome di Bring Your Own Driver (BYOVD), la quale consente di bypassare le protezioni di sistemi e software di sicurezza disabilitando più di 1.000 driver.

BlackByte disattiva oltre 1.000 driver

Andando più nello specifico, i recenti attacchi attribuiti a BlackByte hanno coinvolto una versione del driver MSI Afterburner RTCore64.sys, la quale è vulnerabile a un'escalation di privilegi, e a un errore di esecuzione del codice siglato come CVE-2019-16098. Sfruttando questi difetti di sicurezza i malintenzionati possono disattivare i driver che impediscono il rilevamento e la risposta di più endpoint (EDR) e che impediscono ai prodotti antivirus di funzionare normalmente.

Per fare un esempio concreto, il driver grafico MSI offre codici di controllo I/O direttamente accessibili dai processi in modalità utente, cosa che viola le linee guida di sicurezza di Microsoft relativamente all’accesso alla memoria del kernel, permettendo ai malintenzionati di leggere, scrivere o eseguire codice su di esso senza usare il codice di shello o un exploit.

Da notare che il metodo Bring Your Own Vulnerable Driver è efficace perché i driver vulnerabili sono firmati con un certificato valido e vengono eseguiti con privilegi elevati sul sistema.

Anche se BlackByte è capace di aggirare molti antivirus, è comunque sempre bene installare sul proprio computer una soluzione del genere, come nel caso dell’ottimo Norton 360 Premium che offre pure una VPN, un firewall e un sistema di rilevamento in tempo reale.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione nel rispetto del codice etico. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Ti consigliamo anche