BlackByte Ransomware експлоатира VMware ESXi недостатък, стартирайки нова вълна от киберзаплахи
Групата BlackByte рансъмуер се завръща и този път те експлоатират новопоправена уязвимост в хипервайзорите на VMware ESXi, предизвиквайки тревога в пейзажа на киберсигурността. Групата, известна със своя модел рансъмуер като услуга (RaaS), е използвала този недостатък (CVE-2024-37085), за да компрометира системи, отбелязвайки значителна еволюция в тяхната стратегия за атака.
Съдържание
Използване на VMware ESXi: опасна промяна
При скорошна вълна от атаки, BlackByte беше наблюдаван да използва уязвимост за заобикаляне на удостоверяването във VMware ESXi, което позволява на атакуващите да получат администраторски привилегии на хипервайзора. Тази уязвимост, CVE-2024-37085, е въоръжена от различни групи рансъмуер, но използването й от BlackByte сигнализира за опасен обрат в тяхната тактика. Използвайки този пропуск, участниците в заплахата успяха да ескалират привилегиите, да получат неоторизиран достъп до системни регистрационни файлове и да контролират виртуални машини (VM).
Това използване на публични уязвимости за първоначален достъп не е ново за BlackByte. Неотдавнашното им преминаване към използване на VPN достъп, вероятно получен чрез атаки с груба сила, подчертава техния адаптивен подход. Чрез използване на валидни идентификационни данни за достъп до VPN на жертва, BlackByte успя да намали видимостта от системите за откриване и реагиране на крайна точка (EDR) на организацията, правейки техните атаки още по-скрити.
Ролята на уязвимите драйвери при деактивирането на сигурността
Ключов компонент от стратегията за атака на BlackByte включва използването на уязвими драйвери за обезвреждане на защитите за сигурност, техника, известна като „донесете свой собствен уязвим драйвер“ (BYOVD). В последната си атака BlackByte внедриха множество уязвими драйвери, включително RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys и gdrv.sys, за да прекратят процесите на сигурност и да заобиколят контролите. Този метод се оказа много ефективен при избягване на откриването, позволявайки на рансъмуера да се разпространява бързо в мрежите.
Еволюция в техниките за рансъмуер
Прогресът на BlackByte от използването на C# към Go, а сега и към C/C++, в техния криптатор за рансъмуер отразява умишлено усилие за подобряване на устойчивостта на злонамерения софтуер срещу откриване и анализ. Последната версия, BlackByteNT, включва усъвършенствани техники за анти-анализ и анти-дебъгване, което прави по-голямо предизвикателство за специалистите по киберсигурност да се противопоставят на заплахата.
Тази адаптивност е част от по-широка тенденция сред групите за рансъмуер, както се подчертава от последните изследвания. Разкритието от Cisco Talos идва заедно с констатациите от Group-IB, които подробно описват тактиките на други видове рансъмуер като Brain Cipher и RansomHub. Тези групи, подобно на BlackByte, са развили своите методи, като са възприели нови програмни езици и техники, за да изпреварят мерките за сигурност.
Продължаващата заплаха
Секторите на професионалните, научните и техническите услуги са сред най-изложените на този тип атаки на ransomware, като производството и образователните услуги също са изложени на значителен риск. Въпреки някои усилия за борба с BlackByte – като например пускането на декриптор от Trustwave през октомври 2021 г. – групата продължи да усъвършенства своите операции, като използва персонализирани инструменти като ExByte за ексфилтрация на данни преди криптиране.
Скоростта, с която BlackByte и други ransomware групи експлоатират новоразкритите уязвимости, е ярко напомняне за постоянно присъстващата заплаха, която представляват. Тъй като продължават да адаптират и усъвършенстват техниките си, организациите трябва да останат бдителни, като гарантират, че системите им са коригирани своевременно и че мерките за сигурност са достатъчно стабилни, за да се противопоставят на тези развиващи се атаки.
Последни мисли
Последната вълна от атаки на BlackByte подчертава значението на проактивните мерки за киберсигурност. Тъй като групите за рансъмуер като BlackByte продължават да се развиват, използвайки нови уязвимости и техники, организациите трябва да останат пред кривата, за да защитят своята критична инфраструктура. Битката срещу ransomware далеч не е приключила и да бъдете информирани е първата стъпка в защитата на вашите цифрови активи.