{"id":413286,"date":"2022-10-07T20:58:24","date_gmt":"2022-10-07T20:58:24","guid":{"rendered":"https:\/\/teknomers.com\/es\/blackbyte-ransomware-abusa-de-un-controlador-vulnerable-de-windows-para-deshabilitar-las-soluciones-de-seguridad\/"},"modified":"2022-10-07T20:58:25","modified_gmt":"2022-10-07T20:58:25","slug":"blackbyte-ransomware-abusa-de-un-controlador-vulnerable-de-windows-para-deshabilitar-las-soluciones-de-seguridad","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/blackbyte-ransomware-abusa-de-un-controlador-vulnerable-de-windows-para-deshabilitar-las-soluciones-de-seguridad\/","title":{"rendered":"BlackByte Ransomware abusa de un controlador vulnerable de Windows para deshabilitar las soluciones de seguridad"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>En otro caso m\u00e1s de ataque de traiga su propio controlador vulnerable (BYOVD), los operadores del ransomware BlackByte est\u00e1n aprovechando una falla en un controlador leg\u00edtimo de Windows para eludir las soluciones de seguridad.<\/p>\n<p>&#8220;La t\u00e9cnica de evasi\u00f3n admite la desactivaci\u00f3n de una enorme lista de m\u00e1s de 1000 controladores en los que se basan los productos de seguridad para brindar protecci\u00f3n&#8221;, dijo Andreas Klopsch, investigador de amenazas de Sophos. <a rel=\"nofollow noopener\" href=\"https:\/\/news.sophos.com\/en-us\/2022\/10\/04\/blackbyte-ransomware-returns\/\" target=\"_blank\">dijo<\/a> en un nuevo informe t\u00e9cnico.<\/p>\n<p>BYOVD es un <a rel=\"nofollow noopener\" href=\"https:\/\/www.eset.com\/int\/about\/newsroom\/press-releases\/research\/esets-research-into-bring-your-own-vulnerable-driver-details-attacks-on-drivers-in-windows-core-1\/\" target=\"_blank\">t\u00e9cnica de ataque<\/a> eso involucra a los actores de amenazas que abusan de las vulnerabilidades en controladores leg\u00edtimos y firmados para lograr una explotaci\u00f3n exitosa en modo kernel y tomar el control de las m\u00e1quinas comprometidas.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1665010874_885_Los-piratas-informaticos-aprovechan-la-vulnerabilidad-del-controlador-de-Dell.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Las debilidades en los controladores firmados han sido cooptadas cada vez m\u00e1s por grupos de amenazas de estados nacionales en los \u00faltimos a\u00f1os, incluidos Slingshot, InvisiMole, APT28 y, m\u00e1s recientemente, Lazarus Group.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Controlador de Windows\" border=\"0\" data-original-height=\"504\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1665176304_363_BlackByte-Ransomware-abusa-de-un-controlador-vulnerable-de-Windows-para.jpg\" title=\"Controlador de Windows\" \/><\/div>\n<p>BlackByte, que se cree que es una rama del ahora descontinuado grupo Conti, es parte de los grandes equipos de ciberdelincuencia, que se enfoca en objetivos grandes y de alto perfil como parte de su esquema de ransomware-as-a-service (RaaS).<\/p>\n<p>Seg\u00fan la firma de ciberseguridad, los ataques recientes montados por el grupo se han aprovechado de una falla de ejecuci\u00f3n de c\u00f3digo y escalada de privilegios (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2019-16098\" target=\"_blank\">CVE-2019-16098<\/a>puntaje CVSS: 7.8) que afecta el controlador Micro-Star MSI Afterburner RTCore64.sys para deshabilitar los productos de seguridad.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Adem\u00e1s, un an\u00e1lisis de la <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/9103194d32a15ea9e8ede1c81960a5ba5d21213de55df52a6dac409f2e58bcfe\" target=\"_blank\">muestra de ransomware<\/a> ha descubierto m\u00faltiples similitudes entre los <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Endpoint_detection_and_response\" target=\"_blank\">EDR<\/a> omitir la implementaci\u00f3n y la de una herramienta de c\u00f3digo abierto basada en C llamada <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/wavestone-cdt\/EDRSandblast\" target=\"_blank\">EDRSandblast<\/a>que est\u00e1 dise\u00f1ado para abusar de controladores firmados vulnerables para evadir la detecci\u00f3n.<\/p>\n<p>BlackByte es la \u00faltima familia de ransomware que adopta el m\u00e9todo BYOVD para lograr sus objetivos, despu\u00e9s de <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/2022\/01\/11\/signed-kernel-drivers-unguarded-gateway-windows-core\/\" target=\"_blank\">RobbinHood<\/a> y AvosLocker, los cuales tienen errores armados en gdrv.sys (<a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2018-19320\" target=\"_blank\">CVE-2018-19320<\/a>) y asWarPot.sys para terminar los procesos asociados con el software de protecci\u00f3n de punto final.<\/p>\n<p>Para protegerse contra los ataques BYOVD, se recomienda realizar un seguimiento de los controladores instalados en los sistemas y asegurarse de que est\u00e9n actualizados, u optar por bloquear los controladores que se sabe que son explotables.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/blackbyte-ransomware-abuses-vulnerable.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>En otro caso m\u00e1s de ataque de traiga su propio controlador vulnerable (BYOVD), los operadores del ransomware BlackByte<\/p>\n","protected":false},"author":1,"featured_media":413287,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[10366,4657,4656,4661,115342,4664,11999,59473,4662,4668,246,4667,4654,4658,4659,4653,4655,18,4663,4883,42,4666,4665,23571,4660,5375,20385],"class_list":["post-413286","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-abusa","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-blackbyte","tag-como-hackear","tag-controlador","tag-deshabilitar","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-programa-malicioso-ransomware","tag-ransomware","tag-seguridad","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-soluciones","tag-vulnerabilidad-de-software","tag-vulnerable","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/413286","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=413286"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/413286\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/413287"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=413286"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=413286"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=413286"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}