برنامج الفدية BlackByte يستغل ثغرة VMware ESXi ويطلق موجة جديدة من التهديدات الإلكترونية
عادت مجموعة برامج الفدية BlackByte ، وهذه المرة، تستغل ثغرة تم إصلاحها حديثًا في برامج VMware ESXi الافتراضية، مما أثار حالة من الذعر في عالم الأمن السيبراني. استغلت المجموعة، التي اشتهرت بنموذج برامج الفدية كخدمة (RaaS)، هذا الخلل (CVE-2024-37085) لاختراق الأنظمة، مما يمثل تطورًا كبيرًا في استراتيجية الهجوم الخاصة بها.
جدول المحتويات
استغلال VMware ESXi: تحول خطير
في موجة هجوم حديثة، لوحظ أن BlackByte استغلت ثغرة تجاوز المصادقة في VMware ESXi، والتي تسمح للمهاجمين بالحصول على امتيازات المسؤول على المشرف الافتراضي. وقد تم تسليح هذه الثغرة، CVE-2024-37085، من قبل مجموعات برامج الفدية المختلفة، لكن استخدام BlackByte لها يشير إلى تحول خطير في تكتيكاتهم. من خلال استغلال هذا الخلل، تمكن الجناة من تصعيد الامتيازات والحصول على وصول غير مصرح به إلى سجلات النظام والتحكم في الآلات الافتراضية (VMs).
إن استغلال الثغرات الأمنية التي تواجه الجمهور للوصول الأولي ليس بالأمر الجديد بالنسبة لشركة BlackByte. ومع ذلك، فإن التحول الأخير إلى استخدام الوصول عبر شبكة VPN، والذي يتم الحصول عليه على الأرجح من خلال هجمات القوة الغاشمة، يسلط الضوء على نهجها التكيفي. من خلال الاستفادة من بيانات اعتماد صالحة للوصول إلى شبكة VPN الخاصة بالضحية، تمكنت شركة BlackByte من تقليل الرؤية من أنظمة الكشف والاستجابة لنقاط النهاية (EDR) الخاصة بالمؤسسة، مما يجعل هجماتها أكثر سرية.
دور برامج التشغيل الضعيفة في تعطيل الأمان
يتضمن أحد المكونات الرئيسية لاستراتيجية هجوم BlackByte استخدام برامج تشغيل ضعيفة لتعطيل الحماية الأمنية، وهي تقنية تُعرف باسم "إحضار برنامج التشغيل الضعيف الخاص بك" (BYOVD). في أحدث هجوم لها، نشرت BlackByte برامج تشغيل متعددة ضعيفة، بما في ذلك RtCore64.sys وDBUtil_2_3.sys وzamguard64.sys وgdrv.sys، لإنهاء عمليات الأمان وتجاوز عناصر التحكم. وقد أثبتت هذه الطريقة فعاليتها العالية في التهرب من الكشف، مما يسمح لبرامج الفدية بالانتشار بسرعة عبر الشبكات.
التطور في تقنيات برامج الفدية
يعكس تطور BlackByte من استخدام C# إلى Go، والآن إلى C/C++، في برنامج تشفير البرامج الضارة جهدًا متعمدًا لتعزيز قدرة البرامج الضارة على مقاومة الكشف والتحليل. يتضمن الإصدار الأحدث، BlackByteNT، تقنيات متقدمة لمكافحة التحليل ومكافحة التصحيح، مما يجعل من الصعب على محترفي الأمن السيبراني مواجهة التهديد.
إن هذه القدرة على التكيف هي جزء من اتجاه أوسع بين مجموعات برامج الفدية، كما أبرزته الأبحاث الأخيرة. ويأتي الكشف من شركة Cisco Talos جنبًا إلى جنب مع النتائج التي توصلت إليها مجموعة Group-IB، والتي أوضحت بالتفصيل تكتيكات سلالات أخرى من برامج الفدية مثل Brain Cipher وRansomHub. وقد طورت هذه المجموعات، على غرار BlackByte، أساليبها، وتبنت لغات برمجة وتقنيات جديدة للبقاء في صدارة تدابير الأمن.
التهديد المستمر
تعد قطاعات الخدمات المهنية والعلمية والتقنية من بين القطاعات الأكثر تعرضًا لهذه الأنواع من هجمات برامج الفدية، مع تعرض خدمات التصنيع والتعليم أيضًا لخطر كبير. وعلى الرغم من بعض الجهود المبذولة لمكافحة BlackByte - مثل إصدار برنامج فك التشفير بواسطة Trustwave في أكتوبر 2021 - فقد استمرت المجموعة في تحسين عملياتها، باستخدام أدوات مخصصة مثل ExByte لاستخراج البيانات قبل التشفير.
إن السرعة التي تستغل بها مجموعة BlackByte وغيرها من مجموعات برامج الفدية الثغرات الأمنية التي تم الكشف عنها مؤخرًا هي تذكير صارخ بالتهديد المستمر الذي تشكله. وبينما تستمر هذه المجموعات في التكيف وتحسين تقنياتها، يجب على المنظمات أن تظل يقظة، وتضمن تصحيح أنظمتها على الفور وأن تكون تدابير الأمن قوية بما يكفي لمواجهة هذه الهجمات المتطورة.
الأفكار النهائية
تؤكد موجة الهجوم الأخيرة التي شنتها BlackByte على أهمية تدابير الأمن السيبراني الاستباقية. ومع استمرار مجموعات برامج الفدية مثل BlackByte في التطور، والاستفادة من نقاط الضعف والتقنيات الجديدة، يتعين على المؤسسات أن تظل متقدمة على المنحنى لحماية البنية الأساسية الحيوية الخاصة بها. إن المعركة ضد برامج الفدية لم تنته بعد، والبقاء على اطلاع هو الخطوة الأولى في حماية أصولك الرقمية.