BlackByte Ransomware מנצלת את VMware ESXi Flaw משיקה גל חדש של איומי סייבר

קבוצת תוכנות הכופר של BlackByte חוזרת, והפעם, הם מנצלים פגיעות חדשה שתוקנה ב-Hypervisors של VMware ESXi, מה שמעורר אזעקה ברחבי נוף אבטחת הסייבר. הקבוצה, הידועה לשמצה במודל תוכנת הכופר-כשירות (RaaS), מינפה את הפגם הזה (CVE-2024-37085) כדי להתפשר על מערכות, מה שמסמן התפתחות משמעותית באסטרטגיית ההתקפה שלה.

ניצול VMware ESXi: A Dangerous Shift

בגל תקיפה אחרון, BlackByte נצפתה מנצלת פגיעות עקיפת אימות ב-VMware ESXi, המאפשרת לתוקפים לקבל הרשאות מנהל ב-Hypervisor. פגיעות זו, CVE-2024-37085, בוצעה בנשק על ידי קבוצות שונות של תוכנות כופר, אך השימוש של BlackByte בה מסמן ציר מסוכן בטקטיקות שלהם. על ידי ניצול הפגם הזה, שחקני האיום הצליחו להסלים הרשאות, להשיג גישה לא מורשית ליומני המערכת ולשלוט במכונות וירטואליות (VMs).

ניצול זה של נקודות תורפה הפונות לציבור לצורך גישה ראשונית אינו חדש עבור BlackByte. עם זאת, המעבר האחרון שלהם לשימוש בגישה ל-VPN, שהושג ככל הנראה באמצעות התקפות בכוח גס, מדגיש את הגישה ההסתגלותית שלהם. על ידי מינוף אישורים תקפים כדי לגשת ל-VPN של הקורבן, BlackByte הצליחה להפחית את הנראות ממערכות הזיהוי והתגובה של נקודות הקצה (EDR) של הארגון, מה שהופך את ההתקפות שלהם לחמקניות עוד יותר.

תפקידם של נהגים פגיעים בהשבתת האבטחה

מרכיב מרכזי באסטרטגיית ההתקפה של BlackByte כרוך בשימוש במנהלי התקנים פגיעים כדי לנטרל את הגנות האבטחה, טכניקה המכונה "הביא את הנהג הפגיע שלך" (BYOVD). במתקפה האחרונה שלהם, BlackByte פרסה דרייברים פגיעים מרובים, כולל RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys ו-gdrv.sys, כדי לסיים תהליכי אבטחה ולעקוף בקרות. שיטה זו הוכחה כיעילה ביותר בהתחמקות מגילוי, ומאפשרת לתוכנת הכופר להתפשט במהירות על פני רשתות.

אבולוציה בטכניקות כופר

ההתקדמות של BlackByte משימוש ב-C# ל-Go, ועכשיו ל-C/C++, במצפין תוכנות הכופר שלהם משקפת מאמץ מכוון לשפר את עמידות התוכנה הזדונית נגד זיהוי וניתוח. הגרסה העדכנית ביותר, BlackByteNT, משלבת טכניקות מתקדמות נגד ניתוח ואנטי באגים, מה שהופך את זה למאתגר יותר עבור אנשי אבטחת סייבר להתמודד עם האיום.

יכולת הסתגלות זו היא חלק ממגמה רחבה יותר בקרב קבוצות של תוכנות כופר, כפי שהדגישו מחקרים אחרונים. החשיפה של Cisco Talos מגיעה לצד ממצאים של Group-IB, שפירטה את הטקטיקות של זני כופר אחרים כמו Brain Cipher ו-RansomHub. קבוצות אלה, בדומה ל-BlackByte, פיתחו את השיטות שלהן, ואימצו שפות תכנות חדשות וטכניקות כדי להקדים את אמצעי האבטחה.

האיום המתמשך

מגזרי השירותים המקצועיים, המדעיים והטכניים הם בין החשופים ביותר לסוגים אלה של מתקפות כופר, כאשר גם שירותי ייצור וחינוך נמצאים בסיכון משמעותי. למרות כמה מאמצים להילחם ב-BlackByte - כמו שחרורו של מפענח על ידי Trustwave באוקטובר 2021 - הקבוצה המשיכה לשכלל את הפעולות שלה, תוך שימוש בכלים מותאמים אישית כמו ExByte לחילוץ נתונים לפני הצפנה.

המהירות שבה BlackByte וקבוצות אחרות של תוכנות כופר מנצלות נקודות תורפה שנחשפו לאחרונה היא תזכורת מוחלטת לאיום הקיים שהן מציבות. ככל שהם ממשיכים להסתגל ולשכלל את הטכניקות שלהם, ארגונים חייבים להישאר ערניים, להבטיח שהמערכות שלהם יתוקנו באופן מיידי ושאמצעי האבטחה חזקים מספיק כדי להתמודד עם ההתקפות המתפתחות הללו.

מחשבות אחרונות

גל ההתקפה האחרון של BlackByte מדגיש את החשיבות של אמצעי אבטחת סייבר יזומים. בעוד קבוצות תוכנות כופר כמו BlackByte ממשיכות להתפתח, תוך מינוף נקודות תורפה וטכניקות חדשות, ארגונים חייבים להישאר בקדמת העקומה כדי להגן על התשתית הקריטית שלהם. המאבק נגד תוכנות הכופר רחוק מלהסתיים, והישארות מעודכנת היא הצעד הראשון בשמירה על הנכסים הדיגיטליים שלך.