BlackByte Ransomware udnytter VMware ESXi-fejl, der lancerer en ny bølge af cybertrusler
BlackByte ransomware- gruppen er tilbage, og denne gang udnytter de en nyligt rettet sårbarhed i VMware ESXi-hypervisorer, hvilket vækker alarm på tværs af cybersikkerhedslandskabet. Gruppen, der er berygtet for sin ransomware-as-a-service (RaaS) model, har udnyttet denne fejl (CVE-2024-37085) til at kompromittere systemer, hvilket markerer en betydelig udvikling i deres angrebsstrategi.
Indholdsfortegnelse
Udnyttelse af VMware ESXi: A Dangerous Shift
I en nylig angrebsbølge blev BlackByte observeret udnytte en autentificeringsomgåelsessårbarhed i VMware ESXi, som gør det muligt for angribere at opnå administratorrettigheder på hypervisoren. Denne sårbarhed, CVE-2024-37085, er blevet bevæbnet af forskellige ransomware-grupper, men BlackBytes brug af det signalerer et farligt omdrejningspunkt i deres taktik. Ved at udnytte denne fejl var trusselsaktørerne i stand til at eskalere privilegier, få uautoriseret adgang til systemlogfiler og kontrollere virtuelle maskiner (VM'er).
Denne udnyttelse af offentligt vendte sårbarheder til indledende adgang er ikke ny for BlackByte. Men deres seneste skift til at bruge VPN-adgang, sandsynligvis opnået gennem brute-force-angreb, fremhæver deres adaptive tilgang. Ved at udnytte gyldige legitimationsoplysninger til at få adgang til et offers VPN, har BlackByte formået at reducere synlighed fra organisationens endpoint detection and response (EDR) systemer, hvilket gør deres angreb endnu mere snigende.
Sårbare chaufførers rolle i at deaktivere sikkerhed
En nøglekomponent i BlackBytes angrebsstrategi involverer brugen af sårbare drivere til at frakoble sikkerhedsbeskyttelse, en teknik kendt som "bring din egen sårbare driver" (BYOVD). I deres seneste angreb implementerede BlackByte flere sårbare drivere, herunder RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys og gdrv.sys, for at afslutte sikkerhedsprocesser og omgå kontrol. Denne metode har vist sig at være yderst effektiv til at undgå opdagelse, hvilket gør det muligt for ransomware at sprede sig hurtigt på tværs af netværk.
Udvikling i Ransomware-teknikker
BlackBytes progression fra at bruge C# til Go, og nu til C/C++, i deres ransomware-kryptering afspejler en bevidst indsats for at forbedre malwarens modstandsdygtighed mod detektion og analyse. Den seneste version, BlackByteNT, inkorporerer avancerede anti-analyse- og anti-fejlretningsteknikker, hvilket gør det mere udfordrende for cybersikkerhedsprofessionelle at imødegå truslen.
Denne tilpasningsevne er en del af en bredere tendens blandt ransomware-grupper, som fremhævet af nyere forskning. Afsløringen fra Cisco Talos kommer sammen med resultater fra Group-IB, som detaljerede taktikken for andre ransomware-stammer som Brain Cipher og RansomHub. Disse grupper, der ligner BlackByte, har udviklet deres metoder og har taget nye programmeringssprog og teknikker i brug for at være på forkant med sikkerhedsforanstaltninger.
Den igangværende trussel
De professionelle, videnskabelige og tekniske servicesektorer er blandt de mest udsatte for disse typer af ransomware-angreb, med fremstilling og uddannelsestjenester også i betydelig risiko. På trods af nogle bestræbelser på at bekæmpe BlackByte – såsom frigivelsen af en dekryptering af Trustwave i oktober 2021 – er gruppen fortsat med at forfine sine operationer ved at anvende brugerdefinerede værktøjer som ExByte til dataeksfiltrering før kryptering.
Den hastighed, hvormed BlackByte og andre ransomware-grupper udnytter nyligt afslørede sårbarheder, er en skarp påmindelse om den altid tilstedeværende trussel, de udgør. Mens de fortsætter med at tilpasse og forfine deres teknikker, skal organisationer forblive på vagt og sikre, at deres systemer bliver rettet omgående, og at sikkerhedsforanstaltningerne er robuste nok til at imødegå disse udviklende angreb.
Afsluttende tanker
BlackBytes seneste angrebsbølge understreger vigtigheden af proaktive cybersikkerhedsforanstaltninger. Efterhånden som ransomware-grupper som BlackByte fortsætter med at udvikle sig og udnytter nye sårbarheder og teknikker, skal organisationer være på forkant med at beskytte deres kritiske infrastruktur. Kampen mod ransomware er langt fra slut, og at holde sig orienteret er det første skridt i at beskytte dine digitale aktiver.