Die Hintermänner der Ransomware BlackByte verbreiten derzeit eine neue Variante ihrer Erpressersoftware. Laut einer Analyse des Sicherheitsanbieters Sophos nutzt diese eine bekannte Schwachstelle aus, die es BlackByte ermöglicht, Antivirensoftware zu deaktivieren und so einer Erkennung zu entgehen.
BlackByte ist eine relativ neue Gruppe von Cybererpressern. Eine Serie von Angriffen auf kritische Infrastrukturen und andere hochrangige Ziele veranlasste die US-Bundespolizei FBI zuletzt, vor der Gruppe zu warnen.
Die Anfälligkeit mit der Kennung CVE-2019-16098 steckt in einem Grafiktreiber von Windows-Systemen. Die Datei RTCore64.sys bietet erweiterte Kontrollfunktionen über eine Grafikkarte, was unter anderem ein Overclocking ermöglicht.
Angreifer, die den Fehler ausnutzen, können beliebige Speicherbereiche lesen und schreiben. Allerdings müssen sie sich zuvor Zugang zu einem authentifizierten Nutzerkonto verschaffen. Danach sind sie allerdings in der Lage, höhere Rechte als die des angemeldeten Benutzers zu erlangen, Schadcode auszuführen oder vertrauliche Informationen auszulesen. Darüber hinaus ist es laut Sophos möglich, im Rahmen eines “Bring Your Own Driver”-Angriffs mehr als 1000 Treiber zu umgehen, die von Antivirenprogrammen benutzt werden.
Zu diesem Zweck müssen die Hacker direkt mit dem Kernel des angegriffenen Systems kommunizieren und ihn anweisen, bestimmte Routinen von Antivirensoftware abzuschalten. Auch das Even Tracing unter Windows (ETW) lässt sich so deaktivieren.
“Wenn man sich Computer als eine Festung vorstellt, ist ETW für viele Sicherheitsanbieter die Wache am Eingangstor. Wenn der Wächter ausfällt, ist der Rest des Systems extrem verwundbar. Und da ETW von so vielen verschiedenen Anbietern verwendet wird, ist der Pool an potenziellen Zielen für BlackByte, die diese EDR-Umgehung einsetzen können, enorm”, sagte Christopher Budd, Senior Manager für Threat Research bei Sophos.
Durch die Ausnutzung der Schwachstelle erhält BlackByte die benötigten Rechte, um unbemerkt auf ein System zuzugreifen, bevor der eigentliche Ransomware-Angriff ausgeführt und eine Lösegeldforderung gestellt wird. Das erlaubt es BlackByte, ungestört Daten ihrer Opfer zu stehlen und diese mit der Veröffentlichung der Informationen zu erpressen.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…
KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.
Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.
Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.
Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…
Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.