Les pirates ont trouvé un moyen de vous pirater auquel vous ne vous attendriez pas

Hibou Gourou

Une faille de sécurité a permis à un gang de rançongiciels d'empêcher efficacement les programmes antivirus de s'exécuter correctement sur un système.

Tel que rapporté par Bleeping Computer , le groupe de rançongiciels BlackByte utilise une méthode récemment découverte liée au pilote RTCore64.sys pour contourner plus de 1 000 pilotes légitimes.

Représentation d'un pirate informatique pénétrant dans un système via l'utilisation de code.

Les programmes de sécurité qui s'appuient sur de tels pilotes sont donc incapables de détecter une brèche, la technique elle-même étant qualifiée de "Bring Your Own Driver" par les chercheurs.

Une fois que les pilotes ont été désactivés par les pirates, ils peuvent opérer sous le radar en raison de l'absence de détection et de réponse multiples aux points finaux (EDR). Les conducteurs vulnérables peuvent passer une inspection via un certificat valide, et ils disposent également de privilèges élevés sur le PC lui-même.

Des chercheurs de la société de cybersécurité Sophos détaillent comment le pilote graphique MSI ciblé par le gang de rançongiciels offre des codes de contrôle d'E/S accessibles via des processus en mode utilisateur. Cependant, cet élément enfreint les directives de sécurité de Microsoft sur l'accès à la mémoire du noyau.

En raison de l'exploit, les pirates peuvent librement lire, écrire ou exécuter du code dans la mémoire du noyau d'un système.

BlackByte tient naturellement à éviter d'être détecté afin de ne pas faire analyser ses hacks par des chercheurs, a déclaré Sophos – la société a pointé du doigt les attaquants à la recherche de débogueurs en cours d'exécution sur le système, puis quittant.

De plus, les logiciels malveillants du groupe analysent le système à la recherche de DLL potentielles connectées à Avast, Sandboxie, Windows DbgHelp Library et Comodo Internet Security. Si l'un d'entre eux est trouvé par la recherche, BlackByte désactive sa capacité à fonctionner.

En raison de la nature sophistiquée de la technique utilisée par les pirates, Sophos a averti qu'ils continueraient à exploiter des pilotes légitimes afin de contourner les produits de sécurité. Auparavant, la méthode «Bring Your Own Driver» était utilisée par le groupe de piratage nord-coréen Lazarus, qui impliquait un pilote matériel Dell.

Bleeping Computer met en évidence la manière dont les administrateurs système peuvent protéger leurs PC en plaçant le pilote MSI (RTCore64.sys) ciblé dans une liste de blocage active.

Les efforts de BlackByte en matière de rançongiciels ont été révélés pour la première fois en 2021, le FBI soulignant que le groupe de piratage était à l'origine de certaines cyberattaques contre le gouvernement.