Die Hintermänner der Ransomware BlackByte verbreiten derzeit eine neue Variante ihrer Erpressersoftware. Laut einer Analyse des Sicherheitsanbieters Sophos nutzt diese eine bekannte Schwachstelle aus, die es BlackByte ermöglicht, Antivirensoftware zu deaktivieren und so einer Erkennung zu entgehen.
BlackByte ist eine relativ neue Gruppe von Cybererpressern. Eine Serie von Angriffen auf kritische Infrastrukturen und andere hochrangige Ziele veranlasste die US-Bundespolizei FBI zuletzt, vor der Gruppe zu warnen.
Die Anfälligkeit mit der Kennung CVE-2019-16098 steckt in einem Grafiktreiber von Windows-Systemen. Die Datei RTCore64.sys bietet erweiterte Kontrollfunktionen über eine Grafikkarte, was unter anderem ein Overclocking ermöglicht.
Angreifer, die den Fehler ausnutzen, können beliebige Speicherbereiche lesen und schreiben. Allerdings müssen sie sich zuvor Zugang zu einem authentifizierten Nutzerkonto verschaffen. Danach sind sie allerdings in der Lage, höhere Rechte als die des angemeldeten Benutzers zu erlangen, Schadcode auszuführen oder vertrauliche Informationen auszulesen. Darüber hinaus ist es laut Sophos möglich, im Rahmen eines “Bring Your Own Driver”-Angriffs mehr als 1000 Treiber zu umgehen, die von Antivirenprogrammen benutzt werden.
Zu diesem Zweck müssen die Hacker direkt mit dem Kernel des angegriffenen Systems kommunizieren und ihn anweisen, bestimmte Routinen von Antivirensoftware abzuschalten. Auch das Even Tracing unter Windows (ETW) lässt sich so deaktivieren.
“Wenn man sich Computer als eine Festung vorstellt, ist ETW für viele Sicherheitsanbieter die Wache am Eingangstor. Wenn der Wächter ausfällt, ist der Rest des Systems extrem verwundbar. Und da ETW von so vielen verschiedenen Anbietern verwendet wird, ist der Pool an potenziellen Zielen für BlackByte, die diese EDR-Umgehung einsetzen können, enorm”, sagte Christopher Budd, Senior Manager für Threat Research bei Sophos.
Durch die Ausnutzung der Schwachstelle erhält BlackByte die benötigten Rechte, um unbemerkt auf ein System zuzugreifen, bevor der eigentliche Ransomware-Angriff ausgeführt und eine Lösegeldforderung gestellt wird. Das erlaubt es BlackByte, ungestört Daten ihrer Opfer zu stehlen und diese mit der Veröffentlichung der Informationen zu erpressen.
Kurz vor der Fußball-Europameisterschaft in Deutschland nehmen die Cyberbedrohungen für Sportfans zu, warnt Marco Eggerling…
Software für das Customer Relationship Management muss passgenau ausgewählt und im Praxistest an das einzelne…
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…