In un altro caso di attacco BYOVD (porta il tuo driver vulnerabile), gli operatori del ransomware BlackByte stanno sfruttando un difetto in un driver Windows legittimo per aggirare le soluzioni di sicurezza."La tecnica di evasione supporta la disabilitazione di un enorme elenco di oltre 1.000 driver su cui si basano i prodotti di sicurezza per fornire protezione", ha affermato Andreas Klopsch, ricercatore di minacce di Sophos, in un nuovo articolo tecnico.BYOVD è una tecnica di attacco che coinvolge gli attori delle minacce che abusano delle vulnerabilità nei driver legittimi e firmati per ottenere uno sfruttamento di successo in modalità kernel e prendere il controllo delle macchine compromesse.Negli ultimi anni le debolezze dei driver firmati sono state sempre più cooptate dai gruppi di minacce degli stati-nazione, tra cui Slingshot, InvisiMole, APT28 e, più recentemente, il Lazarus Group.BlackByte, che si ritiene sia una propaggine del gruppo Conti, ormai fuori produzione, fa parte delle squadre di criminalità informatica di grandi dimensioni, che si concentrano su obiettivi di grandi dimensioni e di alto profilo come parte del suo schema di ransomware-as-a-service (RaaS).Secondo l'azienda di sicurezza informatica, i recenti attacchi sferrati dal gruppo hanno sfruttato un errore di escalation dei privilegi e di esecuzione del codice (CVE-2019-16098, punteggio CVSS: 7,8) che interessa il driver Micro-Star MSI Afterburner RTCore64.sys per disabilitare i prodotti di sicurezza .Inoltre, un'analisi del campione di ransomware ha scoperto molteplici somiglianze tra l'implementazione del bypass EDR e quella di uno strumento open source basato su C chiamato EDRSandblast, progettato per abusare dei driver firmati vulnerabili per eludere il rilevamento.BlackByte è l'ultima famiglia di ransomware ad abbracciare il metodo BYOVD per raggiungere i suoi obiettivi, dopo RobbinHood e AvosLocker, entrambi armati di bug in gdrv.sys (CVE-2018-19320) e asWarPot.sys per terminare i processi associati al software di protezione degli endpoint .Per proteggersi dagli attacchi BYOVD, si consiglia di tenere traccia dei driver installati sui sistemi e assicurarsi che siano aggiornati, oppure di optare per la blocklist dei driver noti per essere sfruttabili.Iscriviti alla newsletter sulla sicurezza informatica e ricevi quotidianamente gli ultimi aggiornamenti sulle notizie direttamente nella tua casella di posta.