Home-theater-designers
يتم استخدام سلالة BlackByte ransomware من قبل الجهات الضارة لإساءة استخدام الخوادم الشرعية عبر تقنية تُعرف باسم 'إحضار برنامج التشغيل الخاص بك'.
BlackByte Ransomware المستخدمة لتجاوز طبقات الأمان
تم استخدام BlackByte ransomware منذ عام 2021 ويعمل كملف برامج الفدية كخدمة منظمة. تقدم هذه المجموعات منتجات برامج الفدية إلى جهات ضارة أخرى مقابل رسوم. عادت BlackByte الآن إلى دائرة الضوء بعد استخدامها في تكتيك يُعرف باسم 'إحضار سائقك الخاص'. في هذا الهجوم ، يستغل مجرمو الإنترنت ثغرة أمنية في برنامج تشغيل الأداة المساعدة لزيادة سرعة رسومات Windows RTCore64.sys المعروف باسم CVE-2021-16098.
اجعل فيديو اليوم
يتضمن هجوم إحضار برنامج التشغيل الخاص بك تثبيت إصدار ضعيف من برنامج التشغيل RTCore64.sys على جهاز الضحية. يمكن للمهاجم بعد ذلك إساءة استخدام هذا السائق المعيب مع البقاء أيضًا تحت رادار برامج الأمان.
كيفية التقاط لقطة شاشة على الخاطف دون علمهم
تم اكتشاف التهديد الجديد من قبل شركة Sophos ، وهي شركة معروفة في مجال الأمن السيبراني. في آخر أخبار سوفوس ، قيل إن الثغرة الأمنية CVE-2021-16098 'تسمح للمستخدم المصادق عليه بالقراءة والكتابة في الذاكرة العشوائية ، والتي يمكن استغلالها لتصعيد الامتيازات ، أو تنفيذ التعليمات البرمجية بموجب امتيازات عالية ، أو الكشف عن المعلومات'.
تم تعطيل أكثر من 1000 سائق بواسطة BlackByte
تمكنت الجهات الفاعلة في مجال التهديد من تعطيل أكثر من 1000 برنامج تشغيل مستخدمة بواسطة منتجات اكتشاف نقاط النهاية والاستجابة لها في الصناعة (EDR). كما هو مذكور في منشور أخبار الأمن المذكور أعلاه ، تعتمد منتجات الأمان هذه على برامج التشغيل هذه لتوفير الحماية لعملائها.
كيفية تجاوز الكتل المدرسية
على وجه التحديد ، تراقب هذه الشركات استخدام مكالمات API التي يتم إساءة استخدامها بشكل متكرر ، وهي وظيفة يتم إيقافها من خلال هجمات إحضار برنامج التشغيل الخاص بك.
تسبب BlackByte في حدوث مشكلات في الماضي
ليست هذه هي المرة الأولى التي يتم فيها استخدام BlackByte في الهجمات الإلكترونية. في أوائل عام 2022 ، أصدر مكتب التحقيقات الفيدرالي (FBI) تحذيرًا بشأن سلسلة من هجمات BlackByte ransomware التي تحدث عبر إساءة استخدام خوادم Microsoft Exchange . وقعت سلسلة عمليات الاستغلال في ديسمبر 2021 ، حيث كان المهاجمون يخترقون شبكات الشركات باستخدام ثلاث ثغرات ProxyShell لتثبيت قذائف الويب على الخوادم المخترقة.
منذ الهجمات ، تم تطوير تصحيحات لنقاط الضعف في ProxyShell ، ولكن لا يبدو أن هذا قد منع مشغلي BlackByte من مواصلة هجماتهم في مكان آخر.
كيف تجد عنوان كتاب عندما لا تتذكر
تستمر برامج الفدية في تهديد الأفراد والشركات على حدٍ سواء
تمتلك برامج الفدية Ransomware القدرة على التسبب في خسائر فادحة ، سواء كان ذلك في البيانات أو المقتنيات المالية. أصبح هذا النوع من الهجمات الإلكترونية شائعًا الآن لدرجة أنه يمكن شراؤه عبر مزودي الخدمة غير الشرعيين ، مما يمنح المزيد من الجهات الفاعلة الخبيثة القدرة على استغلال الضحايا. من غير المعروف ما إذا كان مشغلو BlackByte سيستمرون في التسبب في مشاكل في المستقبل ، ولكن هجوم Windows هذا يمثل مثالًا آخر على قدرات برامج الفدية.