BlackByte Ransomware hyödyntää VMware ESXi -virhettä ja käynnistää uuden kyberuhkien aallon
BlackByte ransomware -ryhmä on palannut, ja tällä kertaa he käyttävät hyväkseen VMware ESXi -hypervisoreiden äskettäin korjattua haavoittuvuutta herättäen hälytystä kyberturvallisuusympäristössä. Ransomware-as-a-service (RaaS) -mallistaan pahamaineinen ryhmä on hyödyntänyt tätä puutetta (CVE-2024-37085) vaarantaakseen järjestelmiä, mikä merkitsee merkittävää kehitystä heidän hyökkäysstrategiassaan.
Sisällysluettelo
VMware ESXi:n hyödyntäminen: vaarallinen muutos
Äskettäisessä hyökkäyksessä BlackByten havaittiin hyödyntävän VMware ESXi:n todennuksen ohitushaavoittuvuutta, jonka avulla hyökkääjät voivat saada hypervisorin järjestelmänvalvojan oikeudet. Tämän haavoittuvuuden, CVE-2024-37085, ovat asettaneet useat kiristysohjelmaryhmät, mutta BlackByten sen käyttö on merkki vaarallisesta käänteestä heidän taktiikoissaan. Hyödyntämällä tätä puutetta uhkatoimijat pystyivät eskaloimaan oikeuksia, pääsemään luvatta järjestelmän lokeihin ja hallitsemaan virtuaalikoneita (VM).
Tämä julkisten haavoittuvuuksien hyödyntäminen alkukäyttöön ei ole uutta BlackBytelle. Heidän äskettäinen siirtymisensä VPN-yhteyden käyttöön, joka on todennäköisesti saatu raa'an voiman hyökkäyksistä, korostaa heidän mukautuvaa lähestymistapaansa. BlackByte on onnistunut vähentämään näkyvyyttä organisaation päätepisteiden tunnistus- ja vastausjärjestelmissä (EDR) hyödyntämällä kelvollisia valtuustietoja uhrin VPN:n käyttämiseen, mikä tekee heidän hyökkäyksistään vieläkin salaperäisempiä.
Haavoittuvien kuljettajien rooli turvallisuuden poistamisessa
BlackByten hyökkäysstrategian keskeinen osa sisältää haavoittuvien ohjaimien käyttämisen suojaussuojausten poistamiseen. Tämä tekniikka tunnetaan nimellä "tuo oma haavoittuva ohjain" (BYOVD). Uusimmassa hyökkäyksessään BlackByte otti käyttöön useita haavoittuvia ohjaimia, mukaan lukien RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys ja gdrv.sys, lopettaakseen suojausprosessit ja ohittaakseen ohjaimet. Tämä menetelmä on osoittautunut erittäin tehokkaaksi havaitsemisen välttämisessä, mikä mahdollistaa kiristysohjelman leviämisen nopeasti verkkojen välillä.
Ransomware-tekniikoiden kehitys
BlackByten eteneminen C#:sta Go:hon ja nyt C/C++:aan niiden kiristysohjelmasalauksessa heijastaa tahallista pyrkimystä parantaa haittaohjelmien sietokykyä havaitsemista ja analysointia vastaan. Uusin versio, BlackByteNT, sisältää edistyneitä anti-analyysin ja virheenkorjauksen tekniikoita, mikä tekee kyberturvallisuuden ammattilaisille haastavampaa torjua uhkia.
Tämä sopeutumiskyky on osa laajempaa suuntausta kiristyshaittaohjelmaryhmien keskuudessa, kuten viimeaikaiset tutkimukset korostavat. Cisco Talosin ilmoitus tulee yhdessä Group-IB:n havaintojen kanssa, joissa kerrottiin yksityiskohtaisesti muiden kiristysohjelmakantojen, kuten Brain Cipherin ja RansomHubin, taktiikat. Nämä ryhmät, kuten BlackByte, ovat kehittäneet menetelmiään ottamalla käyttöön uusia ohjelmointikieliä ja tekniikoita pysyäkseen turvatoimien edellä.
Jatkuva uhka
Ammatti-, tiede- ja tekniset palvelut ovat alttiimpia tämän tyyppisille kiristysohjelmahyökkäyksille, ja myös tuotanto- ja koulutuspalvelut ovat merkittävässä riskissä. Huolimatta joistakin yrityksistä torjua BlackBytea – kuten Trustwaven julkaisema salauksenpurkuohjelma lokakuussa 2021 – ryhmä on jatkanut toimintojensa jalostamista käyttämällä mukautettuja työkaluja, kuten ExByte, tietojen suodattamiseen ennen salausta.
Nopeus, jolla BlackByte ja muut kiristysohjelmaryhmät hyödyntävät äskettäin paljastettuja haavoittuvuuksia, on jyrkkä muistutus niiden jatkuvasti läsnä olevasta uhasta. Kun organisaatiot jatkavat tekniikoiden mukauttamista ja parantamista, niiden on pysyttävä valppaina ja varmistettava, että niiden järjestelmät korjataan nopeasti ja että turvatoimenpiteet ovat riittävän tehokkaita vastustamaan näitä kehittyviä hyökkäyksiä.
Viimeisiä ajatuksia
BlackByten uusin hyökkäysaalto korostaa ennakoivien kyberturvallisuustoimenpiteiden merkitystä. Kun kiristysohjelmaryhmät, kuten BlackByte, kehittyvät jatkuvasti hyödyntäen uusia haavoittuvuuksia ja tekniikoita, organisaatioiden on pysyttävä kärjessä suojellakseen kriittistä infrastruktuuriaan. Taistelu kiristysohjelmia vastaan ei ole läheskään ohi, ja ajan tasalla pysyminen on ensimmäinen askel digitaalisen omaisuutesi turvaamisessa.