Ransomware-gänget BlackByte har börjat använda en sofistikerad ”Bring your own driver”-teknik för att kringgå mer än tusen drivrutiner som används i tjänster för så kallad Endpoint Detection and Response, EDR. Tidigare i år pekade FBI ut BlackByte som ett hot mot kritisk infrastruktur. Efter ett kort uppehåll återupptog BlackByte i maj sin verksamhet och nu tycks det som om gruppen lagt till nya attackmetoder.
I en ny rapport beskriver IT-säkerhetsföretaget Sophos hur BlackByte utnyttjat en sårbarhet i RTCorec6.sys, en drivrutin för grafikverktyg för Windows-system. Det ger dem möjlighet att kommunicera direkt med det aktuella systemet och beordra det att inaktivera återuppringningsrutiner som används av både EDR-leverantörer och ETW, Event Tracing for Windows.
– Om man tänker sig datorn som en fästning så är ETW för många EDR-leverantörer att likna vid vakten vid den främre porten. Om vakten sätts ur spel gör det resten av systemet väldigt sårbart. Och eftersom ETW används av så många olika leverantörer är BlackBytes möjligheter att på detta vis använda och kringgå EDR-lösningar mycket stora, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.