BlackByte usa i driver per disattivare l'antivirus

BlackByte usa i driver per disattivare l'antivirus

Il gruppo BlackByte ha sfruttato i driver vulnerabili di MSI Afterburner per aggirare la protezione degli antivirus e installare l'omonimo ransomware.
Il gruppo BlackByte ha sfruttato i driver vulnerabili di MSI Afterburner per aggirare la protezione degli antivirus e installare l'omonimo ransomware.

Gli esperti di Sophos hanno scoperto che il gruppo BlackByte sfrutta le vulnerabilità di driver legittimi per aggirare la protezione degli antivirus e distribuire l’omonimo ransomware. Questa tecnica, nota come BYOVD (Bring Your Own Vulnerable Driver) diventa sempre più popolare tra i cybercriminali, come hanno evidenziato i ricercatori di ESET e Trend Micro.

Attacco ransomware tramite bug di MSI Afterburner

La vulnerabilità, identificata con CVE-2019-16098, era presente nei driver RTCore64.sys e RTCore32.sys del tool MSI Afterburner utilizzato per l’overclock delle GPU. Il bug permette di ottenere privilegi di amministratore ed eseguire codice arbitrario.

Il gruppo BlackByte ha sfruttato la vulnerabilità dei driver per accedere in lettura e scrittura alla memoria del kernel e disattivare oltre 1.000 driver installati dalle soluzioni di sicurezza per proteggere il computer. I dettagli tecnici dell’attacco sono descritti sul sito di Sophos.

Usando la tecnica BYOVD ci sono maggiori probabilità di avere successo, in quanto i driver vulnerabili sono firmati con un certificato legittimo e sono eseguiti sul sistema con elevati privilegi.

Ovviamente la soluzione più ovvia è installare le versioni aggiornate dei driver. In alcuni casi è consigliato aggiungere i driver vulnerabili alla blocklist. La tecnica BYOVD è stata sfruttata per installare un ransomware mediante un driver del sistema anti-cheat di Genshin Impact e un rootkit mediante un driver di Dell.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Sophos
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 6 ott 2022
Link copiato negli appunti