باج‌افزار بلک‌بایت از نقص VMware ESXi سوء استفاده می‌کند و موج جدیدی از تهدیدات سایبری را راه‌اندازی می‌کند.

گروه باج‌افزار BlackByte بازگشته است، و این بار، آنها از یک آسیب‌پذیری جدید وصله‌شده در هایپروایزرهای VMware ESXi بهره‌برداری می‌کنند که زنگ خطر را در سراسر چشم‌انداز امنیت سایبری ایجاد می‌کند. این گروه که به خاطر مدل باج‌افزار به‌عنوان سرویس (RaaS) بدنام است، از این نقص (CVE-2024-37085) برای به خطر انداختن سیستم‌ها استفاده کرده است و تحولی قابل‌توجه در استراتژی حمله آنها را نشان می‌دهد.

بهره برداری از VMware ESXi: یک تغییر خطرناک

در موج حمله اخیر، BlackByte مشاهده شد که از یک آسیب‌پذیری بای پس احراز هویت در VMware ESXi سوء استفاده می‌کند، که به مهاجمان اجازه می‌دهد تا امتیازات سرپرست را در Hypervisor به دست آورند. این آسیب‌پذیری، CVE-2024-37085، توسط گروه‌های باج‌افزار مختلف مورد استفاده قرار گرفته است، اما استفاده بلک‌بایت از آن نشان‌دهنده یک محور خطرناک در تاکتیک‌های آن‌ها است. با استفاده از این نقص، عوامل تهدید قادر به افزایش امتیازات، دسترسی غیرمجاز به گزارش‌های سیستم و کنترل ماشین‌های مجازی (VM) بودند.

این بهره برداری از آسیب پذیری های عمومی برای دسترسی اولیه برای BlackByte جدید نیست. با این حال، تغییر اخیر آنها به استفاده از دسترسی VPN، که احتمالاً از طریق حملات brute-force به دست آمده است، رویکرد تطبیقی آنها را برجسته می کند. BlackByte با استفاده از اعتبارنامه‌های معتبر برای دسترسی به VPN قربانی، توانسته است دید سیستم‌های تشخیص و پاسخ نقطه پایانی (EDR) سازمان را کاهش دهد و حملات آنها را حتی مخفی‌تر کند.

نقش رانندگان آسیب پذیر در غیرفعال کردن امنیت

یکی از اجزای کلیدی استراتژی حمله بلک‌بایت شامل استفاده از درایورهای آسیب‌پذیر برای خلع سلاح حفاظت‌های امنیتی است، تکنیکی که به نام «درایور آسیب‌پذیر خود را بیاورید» (BYOVD) شناخته می‌شود. BlackByte در آخرین حمله خود چندین درایور آسیب پذیر از جمله RtCore64.sys، DBUtil_2_3.sys، zamguard64.sys و gdrv.sys را برای پایان دادن به فرآیندهای امنیتی و دور زدن کنترل ها مستقر کرد. این روش ثابت کرده است که در فرار از شناسایی بسیار موثر است و به باج افزار اجازه می دهد تا به سرعت در سراسر شبکه ها گسترش یابد.

تکامل در تکنیک های باج افزار

پیشرفت بلک‌بایت از استفاده از C# به Go و اکنون به C/C++ در رمزگذار باج‌افزار خود نشان‌دهنده تلاشی عمدی برای افزایش انعطاف‌پذیری بدافزار در برابر شناسایی و تجزیه و تحلیل است. آخرین نسخه، BlackByteNT، از تکنیک‌های پیشرفته ضد تجزیه و تحلیل و ضد اشکال‌زدایی استفاده می‌کند که مقابله با این تهدید را برای متخصصان امنیت سایبری چالش‌برانگیزتر می‌کند.

این سازگاری بخشی از یک روند گسترده‌تر در میان گروه‌های باج‌افزار است که توسط تحقیقات اخیر برجسته شده است. افشای Cisco Talos در کنار یافته‌های Group-IB آمده است که تاکتیک‌های باج‌افزارهای دیگر مانند Brain Cipher و RansomHub را شرح می‌دهد. این گروه‌ها، مشابه بلک‌بایت، روش‌های خود را تکامل داده‌اند و زبان‌ها و تکنیک‌های برنامه‌نویسی جدیدی را اتخاذ کرده‌اند تا از اقدامات امنیتی پیشی بگیرند.

تهدید مداوم

بخش‌های خدمات حرفه‌ای، علمی و فنی از جمله بیشترین مواردی هستند که در معرض این نوع حملات باج‌افزار قرار دارند و خدمات تولیدی و آموزشی نیز در معرض خطر قابل توجهی قرار دارند. علیرغم برخی تلاش‌ها برای مبارزه با BlackByte - مانند انتشار رمزگشا توسط Trustwave در اکتبر 2021 - این گروه به اصلاح عملیات خود ادامه داده و از ابزارهای سفارشی مانند ExByte برای استخراج داده‌ها قبل از رمزگذاری استفاده می‌کند.

سرعتی که بلک‌بایت و سایر گروه‌های باج‌افزار از آسیب‌پذیری‌های جدید فاش شده بهره‌برداری می‌کنند، یادآور تهدیدی است که آنها ایجاد می‌کنند. همانطور که آنها به تطبیق و اصلاح تکنیک های خود ادامه می دهند، سازمان ها باید هوشیار باقی بمانند و اطمینان حاصل کنند که سیستم های آنها به سرعت وصله می شوند و اقدامات امنیتی برای مقابله با این حملات در حال تحول به اندازه کافی قوی هستند.

افکار نهایی

آخرین موج حمله BlackByte بر اهمیت اقدامات پیشگیرانه امنیت سایبری تأکید می کند. از آنجایی که گروه‌های باج‌افزاری مانند BlackByte به تکامل خود ادامه می‌دهند و از آسیب‌پذیری‌ها و تکنیک‌های جدید استفاده می‌کنند، سازمان‌ها باید برای محافظت از زیرساخت‌های حیاتی خود جلوتر از منحنی باشند. نبرد با باج افزار هنوز به پایان نرسیده است و آگاه بودن اولین قدم برای محافظت از دارایی های دیجیتال شماست.