साइबर सुरक्षा शोधकर्ता सोफोस ने बताया है कि यह रैंसमवेयर समूह हमलों के लिए एक नई तकनीक का उपयोग कर रहा है। यह नई तकनीक हमलावरों को सुरक्षा उत्पादों (जैसे एंटी-वायरस) से रैंसमवेयर छिपाने की अनुमति देती है। ब्लैकबाइट रैंसमवेयर एक सुरक्षा दोष का फायदा उठा सकता है जो 1,000 से अधिक ड्राइवरों में मौजूद है और कई एंटीवायरस सॉफ़्टवेयर में आम है।
ब्लैकबाइट विंडोज यूजर्स पर कैसे हमला कर रहा है
विंडोज सिस्टम में RTCorec64.sys नाम का एक ग्राफिक्स यूटिलिटी ड्राइवर होता है, जहां एक भेद्यता (CVE-2019-16098) का कथित तौर पर BlackByte रैंसमवेयर गिरोह द्वारा दुरुपयोग किया जा रहा है। इस ड्राइवर का वास्तविक कार्य ग्राफिक्स कार्ड को ओवरक्लॉक करके उस पर विस्तारित नियंत्रण प्रदान करना है।
यह भेद्यता हमलावरों को एक प्रमाणित उपयोगकर्ता खाते पर कब्जा करके सिस्टम की मेमोरी को पढ़ने और लिखने की अनुमति देती है, जिसका अंततः जानकारी, कोड निष्पादन आदि तक पहुंचने के लिए उपयोग किया जा सकता है।
शोधकर्ताओं ने इस तकनीक का नाम रखा है – “अपनी खुद की ड्राइव लाओ” जो हमलावरों को 1,000 से अधिक एंटीवायरस सॉफ़्टवेयर में उपयोग किए गए ड्राइवरों द्वारा ज्ञात नहीं रहने देता है। ब्लैकबाइट लक्षित सिस्टम को नियंत्रित करने के लिए ड्राइवरों की भेद्यता का फायदा उठाता है और इसे बंद करने का आदेश देता है ETW या विंडोज और अन्य सामान्य रूटीन के लिए इवेंट ट्रेसिंग जो सुरक्षा उत्पादों में उपयोग किए जाते हैं।
विंडोज या ईटीडब्ल्यू के लिए इवेंट ट्रेसिंग क्या है?
सोफोस में खतरे के अनुसंधान के लिए वरिष्ठ प्रबंधक, क्रिस्टोफर बुडो ने समझाया है कि ETW कंप्यूटर में “फ्रंट गेट पर गार्ड” की तरह है। प्राइमरी गार्ड के डाउन होने पर पूरा सिस्टम कमजोर हो जाता है। इसके अलावा, चूंकि कई एंटीवायरस सॉफ़्टवेयर प्रदाता ETW का उपयोग करते हैं, ब्लैकबाइट कई सुरक्षा उत्पादों को बायपास कर सकता है।
सबसे पहले, हमलावर इस भेद्यता का दुरुपयोग चुपचाप सिस्टम पर नियंत्रण करने और फिर ट्रिगर करने के लिए करते हैं रैंसमवेयर अटैक डिक्रिप्शन कुंजी के बदले पीड़ितों से फिरौती की मांग करके।
उपयोगकर्ता खुद को BlackByte से कैसे बचा सकते हैं
सोफोस के शोधकर्ताओं ने उपयोगकर्ताओं को अपने ड्राइवरों को नियमित रूप से अपडेट करने की सिफारिश की है, जिससे इस सुरक्षा दोष को ठीक करने की उम्मीद है। उपयोगकर्ताओं को उन ड्राइवरों को ब्लॉक करने की भी सलाह दी गई है जो अभी भी असुरक्षित हैं।
तकनीकी संगठनों को नियमित रूप से अद्यतन और सुरक्षा पैच जारी करने के साथ-साथ बहु-कारक प्रमाणीकरण प्रदान करना चाहिए (एमएफए) उपयोगकर्ताओं को इन रैंसमवेयर हमलों से सुरक्षित रहने के लिए।