BlackByte'i lunavara kasutab ära VMware ESXi viga, käivitades uue küberohtude laine
BlackByte'i lunavaragrupp on tagasi ja seekord kasutavad nad ära VMware ESXi hüperviisorite värskelt parandatud haavatavust, tekitades küberturvalisuse maastikul häiret. Rühm, kes on kurikuulus oma lunavara-teenusena (RaaS) mudeli poolest, on seda viga (CVE-2024-37085) kasutanud süsteemide kompromiteerimiseks, mis tähistab nende rünnakustrateegia olulist arengut.
Sisukord
VMware ESXi ärakasutamine: ohtlik nihe
Hiljutises rünnakulaines täheldati, et BlackByte kasutas ära VMware ESXi autentimisest möödaviimise haavatavust, mis võimaldab ründajatel omandada hüperviisori administraatoriõigusi. Selle haavatavuse CVE-2024-37085 on relvastanud erinevad lunavararühmad, kuid BlackByte'i selle kasutamine annab märku nende taktika ohtlikust pöördest. Seda viga ära kasutades suutsid ohus osalejad suurendada privileege, saada volitamata juurdepääsu süsteemilogidele ja juhtida virtuaalmasinaid (VM-e).
See avalikkusele suunatud haavatavuste ärakasutamine esialgseks juurdepääsuks pole BlackByte'i jaoks uus. Kuid nende hiljutine üleminek VPN-juurdepääsu kasutamisele, mis on tõenäoliselt saadud jõhkrate rünnakute kaudu, rõhutab nende kohanemisvõimet. Kasutades ohvri VPN-ile juurdepääsuks kehtivaid mandaate, on BlackByte suutnud vähendada organisatsiooni lõpp-punkti tuvastamise ja reageerimise (EDR) süsteemide nähtavust, muutes nende rünnakud veelgi vargasemaks.
Haavatavate draiverite roll turvalisuse keelamisel
BlackByte'i ründestrateegia põhikomponent hõlmab haavatavate draiverite kasutamist turvakaitse desarmeerimiseks. Seda tehnikat nimetatakse "oma haavatava draiveri toomiseks" (BYOVD). Oma viimases rünnakus juurutas BlackByte mitu haavatavat draiverit, sealhulgas RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys ja gdrv.sys, et lõpetada turvaprotsessid ja mööda minna juhtelementidest. See meetod on osutunud avastamisest kõrvalehoidmisel väga tõhusaks, võimaldades lunavaral kiiresti võrkudes levida.
Lunavaratehnikate areng
BlackByte'i areng C#-lt Go-le ja nüüd C/C++-le nende lunavarakrüpteris peegeldab tahtlikku pingutust parandada pahavara vastupanuvõimet tuvastamise ja analüüsimise vastu. Uusim versioon BlackByteNT sisaldab täiustatud analüüsi- ja silumisvastaseid tehnikaid, muutes küberturvalisuse spetsialistide jaoks ohu vastu võitlemise keerulisemaks.
See kohanemisvõime on osa laiemast suundumusest lunavaragruppide seas, nagu on rõhutanud hiljutised uuringud. Cisco Talose avalikustamine tuleb koos Group-IB leidudega, mis kirjeldasid üksikasjalikult teiste lunavaratüvede, nagu Brain Cipher ja RansomHub, taktikat. Need rühmad, sarnaselt BlackByte'iga, on oma meetodeid edasi arendanud, võttes kasutusele uued programmeerimiskeeled ja -tehnikad, et turvameetmetest ees püsida.
Jätkuv oht
Professionaalsed, teadus- ja tehniliste teenuste sektorid on seda tüüpi lunavararünnakutele kõige enam kokku puutunud ning tootmis- ja haridusteenused on samuti olulises ohus. Hoolimata mõningatest jõupingutustest BlackByte'i vastu võitlemisel (nt Trustwave'i dekrüpteerija väljalaskmine 2021. aasta oktoobris) on grupp jätkanud oma tegevuse täiustamist, kasutades enne krüptimist andmete eksfiltreerimiseks kohandatud tööriistu, nagu ExByte.
Kiirus, millega BlackByte ja teised lunavararühmad äsja avalikustatud turvaauke ära kasutavad, tuletab teravalt meelde nende pidevast ohust. Kuna nad jätkavad oma tehnikate kohandamist ja täiustamist, peavad organisatsioonid jääma valvsaks, tagades, et nende süsteemid parandatakse kiiresti ja et turvameetmed on nende arenevate rünnakute vastu võitlemiseks piisavalt tugevad.
Viimased mõtted
BlackByte'i viimane rünnakulaine rõhutab ennetavate küberjulgeolekumeetmete tähtsust. Kuna lunavararühmad, nagu BlackByte, arenevad edasi, kasutades uusi haavatavusi ja tehnikaid, peavad organisatsioonid oma kriitilise infrastruktuuri kaitsmiseks olema kurvi ees. Võitlus lunavara vastu pole veel kaugeltki lõppenud ja kursis püsimine on esimene samm teie digitaalsete varade kaitsmisel.