BlackByte Ransomware explota la falla de VMware ESXi llançant una nova onada d'amenaces cibernètiques
El grup de ransomware BlackByte ha tornat i, aquesta vegada, estan explotant una vulnerabilitat recentment pegada als hipervisors VMware ESXi, despertant l'alarma a tot el panorama de la ciberseguretat. El grup, conegut pel seu model de ransomware com a servei (RaaS), ha aprofitat aquest defecte (CVE-2024-37085) per comprometre els sistemes, marcant una evolució significativa en la seva estratègia d'atac.
Taula de continguts
Explotant VMware ESXi: un canvi perillós
En una onada d'atac recent, es va observar que BlackByte explotava una vulnerabilitat de bypass d'autenticació a VMware ESXi, que permet als atacants obtenir privilegis d'administrador a l'hipervisor. Aquesta vulnerabilitat, CVE-2024-37085, ha estat armada per diversos grups de ransomware, però l'ús que en fa BlackByte indica un gir perillós en les seves tàctiques. Aprofitant aquest defecte, els actors de l'amenaça van poder augmentar els privilegis, obtenir accés no autoritzat als registres del sistema i controlar les màquines virtuals (VM).
Aquesta explotació de vulnerabilitats públiques per a l'accés inicial no és nova per a BlackByte. Tanmateix, el seu recent canvi a l'ús de l'accés VPN, probablement obtingut mitjançant atacs de força bruta, destaca el seu enfocament adaptatiu. Mitjançant l'aprofitament de credencials vàlides per accedir a la VPN d'una víctima, BlackByte ha aconseguit reduir la visibilitat dels sistemes de detecció i resposta de punt final (EDR) de l'organització, fent que els seus atacs siguin encara més sigils.
El paper dels controladors vulnerables en la desactivació de la seguretat
Un component clau de l'estratègia d'atac de BlackByte implica l'ús de controladors vulnerables per desarmar les proteccions de seguretat, una tècnica coneguda com "porta el teu propi controlador vulnerable" (BYOVD). En el seu darrer atac, BlackByte va desplegar diversos controladors vulnerables, inclosos RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys i gdrv.sys, per finalitzar els processos de seguretat i evitar els controls. Aquest mètode ha demostrat ser molt eficaç per evitar la detecció, permetent que el ransomware s'estengui ràpidament per les xarxes.
Evolució de les tècniques de ransomware
La progressió de BlackByte d'utilitzar C# to Go, i ara a C/C++, en el seu xifrador de ransomware reflecteix un esforç deliberat per millorar la resistència del programari maliciós contra la detecció i l'anàlisi. L'última versió, BlackByteNT, incorpora tècniques avançades d'antianàlisi i antidepuració, cosa que fa que sigui més difícil per als professionals de la ciberseguretat contrarestar l'amenaça.
Aquesta adaptabilitat forma part d'una tendència més àmplia entre els grups de ransomware, tal com ha destacat la investigació recent. La divulgació de Cisco Talos s'acompanya de les troballes de Group-IB, que detalla les tàctiques d'altres soques de ransomware com Brain Cipher i RansomHub. Aquests grups, similars a BlackByte, han anat evolucionant els seus mètodes, adoptant nous llenguatges i tècniques de programació per mantenir-se per davant de les mesures de seguretat.
L'amenaça permanent
Els sectors de serveis professionals, científics i tècnics es troben entre els més exposats a aquest tipus d'atacs de ransomware, i els serveis de fabricació i educatius també corren un risc important. Malgrat alguns esforços per combatre BlackByte, com ara el llançament d'un desxifrador per part de Trustwave l'octubre de 2021, el grup ha continuat perfeccionant les seves operacions, utilitzant eines personalitzades com ExByte per a l'exfiltració de dades abans del xifratge.
La velocitat amb què BlackByte i altres grups de ransomware exploten les vulnerabilitats recentment revelades és un recordatori clar de l'amenaça sempre present que representen. A mesura que continuen adaptant i perfeccionant les seves tècniques, les organitzacions han de mantenir-se vigilants, assegurant-se que els seus sistemes s'apadaquin ràpidament i que les mesures de seguretat siguin prou sòlides per contrarestar aquests atacs en evolució.
Pensaments finals
L'última onada d'atacs de BlackByte subratlla la importància de les mesures proactives de ciberseguretat. A mesura que grups de ransomware com BlackByte continuen evolucionant, aprofitant noves vulnerabilitats i tècniques, les organitzacions han de mantenir-se al capdavant de la corba per protegir la seva infraestructura crítica. La batalla contra el ransomware està lluny d'haver acabat i mantenir-se informat és el primer pas per salvaguardar els vostres actius digitals.