BlackByte Ransomware využívá chybu VMware ESXi a spouští novou vlnu kybernetických hrozeb
Skupina ransomwaru BlackByte je zpět a tentokrát využívá nově opravenou zranitelnost v hypervizorech VMware ESXi, což vyvolává poplach v oblasti kybernetické bezpečnosti. Skupina, notoricky známá svým modelem ransomware-as-a-service (RaaS), využila tuto chybu (CVE-2024-37085) ke kompromitaci systémů, což znamená významný vývoj v jejich strategii útoků.
Obsah
Využívání VMware ESXi: Nebezpečný posun
V nedávné vlně útoků byl BlackByte pozorován, jak zneužívá zranitelnost autentizačního bypassu ve VMware ESXi, která útočníkům umožňuje získat administrátorská práva na hypervizoru. Tato zranitelnost, CVE-2024-37085, byla vyzbrojena různými skupinami ransomwaru, ale její použití BlackByte signalizuje nebezpečný klíč v jejich taktice. Využitím této chyby byli aktéři hrozeb schopni eskalovat oprávnění, získat neoprávněný přístup k systémovým protokolům a ovládat virtuální stroje (VM).
Toto využívání veřejně přístupných zranitelností pro počáteční přístup není pro BlackByte novinkou. Jejich nedávný posun k používání přístupu VPN, pravděpodobně získaný útoky hrubou silou, však zdůrazňuje jejich adaptivní přístup. Využitím platných přihlašovacích údajů pro přístup k VPN oběti se BlackByte podařilo snížit viditelnost ze systémů detekce a odezvy koncových bodů (EDR) organizace, takže jejich útoky jsou ještě nenápadnější.
Role zranitelných ovladačů při deaktivaci zabezpečení
Klíčová součást strategie útoku BlackByte zahrnuje použití zranitelných ovladačů k deaktivaci bezpečnostních ochran, což je technika známá jako „přineste si vlastní zranitelný ovladač“ (BYOVD). Ve svém posledním útoku BlackByte nasadil několik zranitelných ovladačů, včetně RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys a gdrv.sys, aby ukončil bezpečnostní procesy a obešel ovládací prvky. Tato metoda se ukázala jako vysoce účinná při vyhýbání se detekci a umožňuje rychlé šíření ransomwaru po sítích.
Evoluce v technikách ransomwaru
Pokrok společnosti BlackByte od používání C# k Go a nyní k C/C++ v jejich ransomwarovém šifrovači odráží záměrnou snahu o zvýšení odolnosti malwaru vůči detekci a analýze. Nejnovější verze, BlackByteNT, obsahuje pokročilé techniky antianalýzy a ladění, díky čemuž je pro profesionály v oblasti kybernetické bezpečnosti obtížnější čelit hrozbě.
Tato přizpůsobivost je součástí širšího trendu mezi skupinami ransomwaru, jak zdůraznil nedávný výzkum. Zveřejnění Cisco Talos přichází spolu se zjištěními od Group-IB, které podrobně popsaly taktiku dalších kmenů ransomwaru, jako je Brain Cipher a RansomHub. Tyto skupiny, podobně jako BlackByte, vyvinuly své metody, přijaly nové programovací jazyky a techniky, aby zůstaly o krok před bezpečnostními opatřeními.
Pokračující hrozba
Sektor profesionálních, vědeckých a technických služeb patří mezi ty, které jsou nejvíce vystaveny těmto typům ransomwarových útoků, přičemž významným rizikem jsou také výrobní a vzdělávací služby. Navzdory určitému úsilí v boji proti BlackByte – jako je vydání decryptoru společností Trustwave v říjnu 2021 – skupina pokračovala ve zdokonalování svých operací a používala vlastní nástroje, jako je ExByte, pro exfiltraci dat před šifrováním.
Rychlost, s jakou BlackByte a další skupiny ransomwaru využívají nově odhalené zranitelnosti, je ostrou připomínkou všudypřítomné hrozby, kterou představují. Vzhledem k tomu, že organizace pokračují v přizpůsobování a zdokonalování svých technik, musí zůstat ostražité a zajistit, aby jejich systémy byly rychle opraveny a že bezpečnostní opatření jsou dostatečně robustní, aby čelila těmto vyvíjejícím se útokům.
Závěrečné myšlenky
Nejnovější útočná vlna BlackByte podtrhuje důležitost proaktivních opatření v oblasti kybernetické bezpečnosti. Vzhledem k tomu, že se skupiny ransomwaru, jako je BlackByte, stále vyvíjejí a využívají nové zranitelnosti a techniky, musí organizace zůstat napřed, aby ochránily svou kritickou infrastrukturu. Boj proti ransomwaru ještě zdaleka nekončí a být informován je prvním krokem k ochraně vašich digitálních aktiv.