ब्लैकबाइट रैंसमवेयर स्ट्रेन का उपयोग दुर्भावनापूर्ण अभिनेताओं द्वारा "ब्रिंग योर ओन ड्राइवर" नामक तकनीक के माध्यम से वैध सर्वरों का दुरुपयोग करने के लिए किया जा रहा है।
BlackByte Ransomware सुरक्षा परतों को बायपास करने के लिए उपयोग किया जाता है
ब्लैकबाइट रैंसमवेयर 2021 से उपयोग में है और एक के रूप में कार्य करता है रैंसमवेयर-ए-ए-सर्विस संगठन। ये समूह शुल्क के लिए अन्य दुर्भावनापूर्ण अभिनेताओं को रैंसमवेयर उत्पाद प्रदान करते हैं। "ब्रिंग योर ओन ड्राइवर" नामक रणनीति में उपयोग किए जाने के बाद ब्लैकबाइट अब फिर से सुर्खियों में है। इस हमले में, साइबर अपराधी RTCore64.sys विंडोज ग्राफिक्स ओवरक्लॉकिंग यूटिलिटी ड्राइवर CVE-2021-16098 के भीतर एक भेद्यता का फायदा उठा रहे हैं।
ब्रिंग योर ओन ड्राइवर हमले में पीड़ित के डिवाइस पर RTCore64.sys ड्राइवर का एक कमजोर संस्करण स्थापित करना शामिल है। सुरक्षा सॉफ़्टवेयर के रडार के अंतर्गत रहते हुए भी हमलावर इस त्रुटिपूर्ण ड्राइवर का दुरुपयोग कर सकता है।
नए खतरे का पता एक जानी-मानी साइबर सिक्योरिटी फर्म सोफोस ने लगाया। में एक सोफोस न्यूज पोस्ट, यह कहा गया था कि CVE-2021-16098 भेद्यता "एक प्रमाणित उपयोगकर्ता को मनमाने ढंग से पढ़ने और लिखने की अनुमति देती है स्मृति, जिसका उपयोग विशेषाधिकार वृद्धि, उच्च विशेषाधिकारों के तहत कोड निष्पादन, या सूचना के लिए किया जा सकता है प्रकटीकरण"।
BlackByte द्वारा 1,000 से अधिक ड्राइवर अक्षम किए गए हैं
थ्रेट एक्टर्स ने उद्योग के एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (ईडीआर) उत्पादों द्वारा उपयोग किए जाने वाले 1,000 से अधिक ड्राइवरों को अक्षम करने में कामयाबी हासिल की है। जैसा कि उपरोक्त सुरक्षा समाचार पोस्ट में कहा गया है, ऐसे सुरक्षा उत्पाद अपने ग्राहकों को सुरक्षा प्रदान करने के लिए इन ड्राइवरों पर भरोसा करते हैं।
विशेष रूप से, ये कंपनियाँ बार-बार दुर्व्यवहार करने वाले एपीआई कॉल के उपयोग की निगरानी करती हैं, एक ऐसा कार्य जो इन ब्रिंग योर ओन ड्राइवर हमलों के माध्यम से रोका जा रहा है।
ब्लैकबाइट ने अतीत में समस्याएं पैदा की हैं
यह पहली बार नहीं है कि साइबर हमले में ब्लैकबाइट का इस्तेमाल किया गया है। 2022 की शुरुआत में, FBI ने ब्लैकबाइट रैंसमवेयर हमलों की एक श्रृंखला के बारे में चेतावनी जारी की माइक्रोसॉफ्ट एक्सचेंज सर्वर का दुरुपयोग. कारनामों की श्रृंखला दिसंबर 2021 में हुई, जिसमें हमलावर समझौता किए गए सर्वरों पर वेब शेल स्थापित करने के लिए तीन प्रॉक्सीशेल कमजोरियों का उपयोग करके कॉर्पोरेट नेटवर्क का उल्लंघन कर रहे थे।
हमलों के बाद से, ProxyShell कमजोरियों के लिए पैच विकसित किए गए हैं, लेकिन ऐसा नहीं लगता कि इसने BlackByte ऑपरेटरों को अपने हमलों को कहीं और जारी रखने से रोका है।
रैंसमवेयर व्यक्तियों और कंपनियों को समान रूप से धमकाता रहता है
रैंसमवेयर में भारी नुकसान पहुंचाने की क्षमता है, चाहे वह डेटा हो या वित्तीय होल्डिंग्स। इस प्रकार का साइबर हमला अब इतना लोकप्रिय हो गया है कि इसे अवैध सेवा प्रदाताओं के माध्यम से खरीदा जा सकता है, जिससे अधिक दुर्भावनापूर्ण अभिनेताओं को पीड़ितों का शोषण करने की क्षमता मिलती है। यह ज्ञात नहीं है कि ब्लैकबाइट ऑपरेटर भविष्य में समस्याएं पैदा करना जारी रखेंगे या नहीं, लेकिन यह विंडोज हमला रैंसमवेयर प्रोग्राम की क्षमताओं का एक और उदाहरण है।