يتم استخدام سلالة BlackByte ransomware من قبل الجهات الضارة لإساءة استخدام الخوادم الشرعية عبر تقنية تُعرف باسم "إحضار برنامج التشغيل الخاص بك".

BlackByte Ransomware المستخدمة لتجاوز طبقات الأمان

تم استخدام BlackByte ransomware منذ عام 2021 ويعمل كملف برامج الفدية كخدمة منظمة. تقدم هذه المجموعات منتجات برامج الفدية إلى جهات ضارة أخرى مقابل رسوم. عادت BlackByte الآن إلى دائرة الضوء بعد استخدامها في تكتيك يُعرف باسم "إحضار سائقك الخاص". في هذا الهجوم ، يستغل مجرمو الإنترنت ثغرة أمنية في برنامج تشغيل الأداة المساعدة لزيادة سرعة رسومات Windows RTCore64.sys المعروف باسم CVE-2021-16098.

يتضمن هجوم إحضار برنامج التشغيل الخاص بك تثبيت إصدار ضعيف من برنامج التشغيل RTCore64.sys على جهاز الضحية. يمكن للمهاجم بعد ذلك إساءة استخدام هذا السائق المعيب مع البقاء أيضًا تحت رادار برامج الأمان.

تم اكتشاف التهديد الجديد من قبل شركة Sophos ، وهي شركة معروفة في مجال الأمن السيبراني. في آخر أخبار سوفوس، ذكر أن الثغرة الأمنية CVE-2021-16098 "تسمح للمستخدم المصادق عليه بالقراءة والكتابة إلى تعسفي الذاكرة ، والتي يمكن استغلالها لتصعيد الامتيازات ، أو تنفيذ التعليمات البرمجية بموجب امتيازات عالية ، أو المعلومات إفشاء".

instagram viewer

تم تعطيل أكثر من 1000 سائق بواسطة BlackByte

تمكنت الجهات الفاعلة في مجال التهديد من تعطيل أكثر من 1000 برنامج تشغيل مستخدمة بواسطة منتجات اكتشاف نقاط النهاية والاستجابة لها في الصناعة (EDR). كما هو مذكور في منشور أخبار الأمن المذكور أعلاه ، تعتمد منتجات الأمان هذه على برامج التشغيل هذه لتوفير الحماية لعملائها.

على وجه التحديد ، تراقب هذه الشركات استخدام مكالمات API التي يساء استخدامها كثيرًا ، وهي وظيفة يتم إيقافها من خلال هجمات إحضار برنامج التشغيل الخاص بك.

تسبب BlackByte في حدوث مشكلات في الماضي

ليست هذه هي المرة الأولى التي يتم فيها استخدام BlackByte في الهجمات الإلكترونية. في أوائل عام 2022 ، أصدر مكتب التحقيقات الفيدرالي (FBI) تحذيرًا بشأن سلسلة من هجمات BlackByte ransomware التي تحدث عبر إساءة استخدام خوادم Microsoft Exchange. وقعت سلسلة عمليات الاستغلال في ديسمبر 2021 ، حيث كان المهاجمون يخترقون شبكات الشركات باستخدام ثلاث ثغرات أمنية في ProxyShell لتثبيت قذائف الويب على الخوادم المخترقة.

منذ الهجمات ، تم تطوير تصحيحات لنقاط الضعف في ProxyShell ، ولكن لا يبدو أن هذا قد منع مشغلي BlackByte من مواصلة هجماتهم في مكان آخر.

تستمر برامج الفدية في تهديد الأفراد والشركات على حدٍ سواء

تمتلك برامج الفدية Ransomware القدرة على التسبب في خسائر فادحة ، سواء كان ذلك في البيانات أو المقتنيات المالية. أصبح هذا النوع من الهجمات الإلكترونية شائعًا الآن لدرجة أنه يمكن شراؤه عبر مزودي الخدمة غير الشرعيين ، مما يمنح المزيد من الجهات الفاعلة الخبيثة القدرة على استغلال الضحايا. من غير المعروف ما إذا كان مشغلو BlackByte سيستمرون في التسبب في مشاكل في المستقبل ، ولكن هجوم Windows هذا يمثل مثالًا آخر على قدرات برامج الفدية.