Die Hintermänner der Ransomware BlackByte verbreiten derzeit eine neue Variante ihrer Erpressersoftware. Laut einer Analyse des Sicherheitsanbieters Sophos nutzt diese eine bekannte Schwachstelle aus, die es BlackByte ermöglicht, Antivirensoftware zu deaktivieren und so einer Erkennung zu entgehen.
BlackByte ist eine relativ neue Gruppe von Cybererpressern. Eine Serie von Angriffen auf kritische Infrastrukturen und andere hochrangige Ziele veranlasste die US-Bundespolizei FBI zuletzt, vor der Gruppe zu warnen.
Die Anfälligkeit mit der Kennung CVE-2019-16098 steckt in einem Grafiktreiber von Windows-Systemen. Die Datei RTCore64.sys bietet erweiterte Kontrollfunktionen über eine Grafikkarte, was unter anderem ein Overclocking ermöglicht.
Angreifer, die den Fehler ausnutzen, können beliebige Speicherbereiche lesen und schreiben. Allerdings müssen sie sich zuvor Zugang zu einem authentifizierten Nutzerkonto verschaffen. Danach sind sie allerdings in der Lage, höhere Rechte als die des angemeldeten Benutzers zu erlangen, Schadcode auszuführen oder vertrauliche Informationen auszulesen. Darüber hinaus ist es laut Sophos möglich, im Rahmen eines “Bring Your Own Driver”-Angriffs mehr als 1000 Treiber zu umgehen, die von Antivirenprogrammen benutzt werden.
Zu diesem Zweck müssen die Hacker direkt mit dem Kernel des angegriffenen Systems kommunizieren und ihn anweisen, bestimmte Routinen von Antivirensoftware abzuschalten. Auch das Even Tracing unter Windows (ETW) lässt sich so deaktivieren.
“Wenn man sich Computer als eine Festung vorstellt, ist ETW für viele Sicherheitsanbieter die Wache am Eingangstor. Wenn der Wächter ausfällt, ist der Rest des Systems extrem verwundbar. Und da ETW von so vielen verschiedenen Anbietern verwendet wird, ist der Pool an potenziellen Zielen für BlackByte, die diese EDR-Umgehung einsetzen können, enorm”, sagte Christopher Budd, Senior Manager für Threat Research bei Sophos.
Durch die Ausnutzung der Schwachstelle erhält BlackByte die benötigten Rechte, um unbemerkt auf ein System zuzugreifen, bevor der eigentliche Ransomware-Angriff ausgeführt und eine Lösegeldforderung gestellt wird. Das erlaubt es BlackByte, ungestört Daten ihrer Opfer zu stehlen und diese mit der Veröffentlichung der Informationen zu erpressen.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…