BlackByte: Ransomware schaltet Sicherheitssoftware ab
Die Cybererpresser nutzen eine bekannte Schwachstelle in einem Grafiktreiber von Windows. Anschließend manipulieren sie Treiber von Antivirensoftware. Die BlackByte-Gruppe kann so ungestört auf Systeme ihrer Opfer zugreifen.
Die Hintermänner der Ransomware BlackByte verbreiten derzeit eine neue Variante ihrer Erpressersoftware. Laut einer Analyse des Sicherheitsanbieters Sophos nutzt diese eine bekannte Schwachstelle aus, die es BlackByte ermöglicht, Antivirensoftware zu deaktivieren und so einer Erkennung zu entgehen.
BlackByte ist eine relativ neue Gruppe von Cybererpressern. Eine Serie von Angriffen auf kritische Infrastrukturen und andere hochrangige Ziele veranlasste die US-Bundespolizei FBI zuletzt, vor der Gruppe zu warnen.
Die Anfälligkeit mit der Kennung CVE-2019-16098 steckt in einem Grafiktreiber von Windows-Systemen. Die Datei RTCore64.sys bietet erweiterte Kontrollfunktionen über eine Grafikkarte, was unter anderem ein Overclocking ermöglicht.
Angreifer, die den Fehler ausnutzen, können beliebige Speicherbereiche lesen und schreiben. Allerdings müssen sie sich zuvor Zugang zu einem authentifizierten Nutzerkonto verschaffen. Danach sind sie allerdings in der Lage, höhere Rechte als die des angemeldeten Benutzers zu erlangen, Schadcode auszuführen oder vertrauliche Informationen auszulesen. Darüber hinaus ist es laut Sophos möglich, im Rahmen eines “Bring Your Own Driver”-Angriffs mehr als 1000 Treiber zu umgehen, die von Antivirenprogrammen benutzt werden.
Zu diesem Zweck müssen die Hacker direkt mit dem Kernel des angegriffenen Systems kommunizieren und ihn anweisen, bestimmte Routinen von Antivirensoftware abzuschalten. Auch das Even Tracing unter Windows (ETW) lässt sich so deaktivieren.
“Wenn man sich Computer als eine Festung vorstellt, ist ETW für viele Sicherheitsanbieter die Wache am Eingangstor. Wenn der Wächter ausfällt, ist der Rest des Systems extrem verwundbar. Und da ETW von so vielen verschiedenen Anbietern verwendet wird, ist der Pool an potenziellen Zielen für BlackByte, die diese EDR-Umgehung einsetzen können, enorm”, sagte Christopher Budd, Senior Manager für Threat Research bei Sophos.
Durch die Ausnutzung der Schwachstelle erhält BlackByte die benötigten Rechte, um unbemerkt auf ein System zuzugreifen, bevor der eigentliche Ransomware-Angriff ausgeführt und eine Lösegeldforderung gestellt wird. Das erlaubt es BlackByte, ungestört Daten ihrer Opfer zu stehlen und diese mit der Veröffentlichung der Informationen zu erpressen.