ataque tipo stuxnet

Ransomware BlackByte ignora maioria das ferramentas de EDR

Da Redação
05/10/2022

O grupo de ransomware BlackByte, que o governo dos EUA diz representar uma séria ameaça às infraestruturas críticas do país, foi detectado usando técnicas sofisticadas para contornar as ferramentas de detecção e resposta de endpoint (EDR). O operadores do malware usando a tática do  BYOVD (sigla em inglês para bring your own vulnerable driver, ou traga seu próprio driver vulnerável) para contornar mais de mil drivers usados ​​por produtos EDR disponíveis comercialmente, de acordo com a Sophos.

O fornecedor de segurança cibernética explicou em um novo relatório que o grupo explorou uma vulnerabilidade conhecida (CVE-2019-16098) no driver do utilitário gráfico do Windows RTCorec6.sys. Isso teria permitido que ele se comunicasse diretamente com o kernel do sistema da vítima e emitisse comandos para desabilitar as rotinas de retorno de chamada usadas pelas ferramentas EDR.

O grupo também usou técnicas de desvio de EDR emprestadas da ferramenta de código aberto EDRSandblast para desativar o provedor Microsoft-Windows-Threat-Intelligence ETW (Event Tracing for Windows). “Este é um recurso do Windows que fornece logs sobre o uso de chamadas de API comumente maliciosas, como NtReadVirtualMemory para injetar na memória de outro processo”, explicou a Sophos. Neutralizá-lo dessa maneira torna qualquer ferramenta de segurança que dependa do recurso também inútil, argumentou a empresa.

Veja isso
52 infraestruturas críticas atacadas por ransomware nos EUA
NSA orienta sobre como proteger infraestruturas críticas de OT/ICS

“Se você pensa nos computadores como uma fortaleza, para muitos provedores de EDR, o ETW é o guarda no portão da frente”, disse Christopher Budd, gerente sênior de pesquisa de ameaças da Sophos. “Se a guarda cair, isso deixa o resto do sistema extremamente vulnerável. E, como o ETW é usado por tantos provedores diferentes, o conjunto de alvos potenciais da BlackByte para implantar esse desvio de EDR é enorme.”

O BlackByte não é o único grupo de ransomware que usa essas técnicas avançadas para contornar as ferramentas de detecção existentes, ilustrando a contínua corrida armamentista entre invasores e defensores. AvosLocker usou um método semelhante em maio, disse a Sophos.

“Ironicamente, pelo que estamos vendo em campo, parece que o bypass de EDR está se tornando uma técnica mais popular para grupos de ameaças de ransomware”, disse Budd à Infosecurity. “Isso não é surpreendente. Os operadores de ameaças geralmente utilizam ferramentas e técnicas desenvolvidas pela indústria de ‘segurança ofensiva’ para lançar ataques mais rapidamente e com o mínimo de esforço.”

Compartilhar: