ब्लैकबाइट रैनसमवेयर ने VMware ESXi की खामी का फायदा उठाकर साइबर खतरों की नई लहर शुरू कर दी है
ब्लैकबाइट रैनसमवेयर समूह वापस आ गया है, और इस बार, वे VMware ESXi हाइपरवाइज़र में एक नए पैच किए गए भेद्यता का फायदा उठा रहे हैं, जिससे साइबर सुरक्षा परिदृश्य में चिंता बढ़ गई है। अपने रैनसमवेयर-एज़-ए-सर्विस (RaaS) मॉडल के लिए कुख्यात इस समूह ने सिस्टम से समझौता करने के लिए इस दोष (CVE-2024-37085) का लाभ उठाया है, जो उनकी हमले की रणनीति में एक महत्वपूर्ण विकास को दर्शाता है।
विषयसूची
VMware ESXi का दोहन: एक खतरनाक बदलाव
हाल ही में हुए हमलों की एक लहर में, ब्लैकबाइट को VMware ESXi में एक प्रमाणीकरण बाईपास भेद्यता का फायदा उठाते हुए देखा गया, जो हमलावरों को हाइपरवाइजर पर व्यवस्थापक विशेषाधिकार प्राप्त करने की अनुमति देता है। इस भेद्यता, CVE-2024-37085, को विभिन्न रैनसमवेयर समूहों द्वारा हथियार बनाया गया है, लेकिन ब्लैकबाइट द्वारा इसका उपयोग उनकी रणनीति में एक खतरनाक मोड़ का संकेत देता है। इस दोष का फायदा उठाकर, खतरे वाले अभिनेता विशेषाधिकारों को बढ़ाने, सिस्टम लॉग तक अनधिकृत पहुँच प्राप्त करने और वर्चुअल मशीनों (VMs) को नियंत्रित करने में सक्षम थे।
प्रारंभिक पहुँच के लिए सार्वजनिक-सामना करने वाली कमज़ोरियों का यह शोषण ब्लैकबाइट के लिए नया नहीं है। हालाँकि, VPN पहुँच का उपयोग करने के लिए उनका हालिया बदलाव, संभवतः क्रूर-बल हमलों के माध्यम से प्राप्त किया गया, उनके अनुकूली दृष्टिकोण को उजागर करता है। पीड़ित के VPN तक पहुँचने के लिए वैध क्रेडेंशियल्स का लाभ उठाकर, ब्लैकबाइट ने संगठन के एंडपॉइंट डिटेक्शन और रिस्पॉन्स (EDR) सिस्टम से दृश्यता को कम करने में कामयाबी हासिल की है, जिससे उनके हमले और भी अधिक गुप्त हो गए हैं।
सुरक्षा को अक्षम करने में कमज़ोर ड्राइवरों की भूमिका
ब्लैकबाइट की हमले की रणनीति का एक प्रमुख घटक सुरक्षा सुरक्षा को निष्क्रिय करने के लिए कमजोर ड्राइवरों का उपयोग करना शामिल है, जिसे "अपना खुद का कमजोर ड्राइवर लाओ" (BYOVD) के रूप में जाना जाता है। अपने नवीनतम हमले में, ब्लैकबाइट ने सुरक्षा प्रक्रियाओं को समाप्त करने और नियंत्रणों को बायपास करने के लिए RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys और gdrv.sys सहित कई कमजोर ड्राइवरों को तैनात किया। यह विधि पता लगाने से बचने में अत्यधिक प्रभावी साबित हुई है, जिससे रैनसमवेयर नेटवर्क में तेजी से फैल सकता है।
रैनसमवेयर तकनीकों में विकास
ब्लैकबाइट द्वारा अपने रैनसमवेयर एन्क्रिप्टर में C# से लेकर Go और अब C/C++ का उपयोग करना मैलवेयर की पहचान और विश्लेषण के प्रति प्रतिरोधक क्षमता को बढ़ाने के लिए जानबूझकर किए गए प्रयास को दर्शाता है। नवीनतम संस्करण, ब्लैकबाइटएनटी, उन्नत एंटी-एनालिसिस और एंटी-डीबगिंग तकनीकों को शामिल करता है, जिससे साइबर सुरक्षा पेशेवरों के लिए खतरे का मुकाबला करना अधिक चुनौतीपूर्ण हो जाता है।
यह अनुकूलनशीलता रैनसमवेयर समूहों के बीच एक व्यापक प्रवृत्ति का हिस्सा है, जैसा कि हाल ही में किए गए शोध द्वारा उजागर किया गया है। सिस्को टैलोस का खुलासा ग्रुप-आईबी के निष्कर्षों के साथ आता है, जिसमें ब्रेन सिफर और रैनसमहब जैसे अन्य रैनसमवेयर उपभेदों की रणनीति का विवरण दिया गया है। ब्लैकबाइट के समान इन समूहों ने सुरक्षा उपायों से आगे रहने के लिए नई प्रोग्रामिंग भाषाओं और तकनीकों को अपनाते हुए अपने तरीके विकसित किए हैं।
जारी खतरा
पेशेवर, वैज्ञानिक और तकनीकी सेवा क्षेत्र इस प्रकार के रैनसमवेयर हमलों के सबसे अधिक जोखिम में हैं, साथ ही विनिर्माण और शैक्षिक सेवाएँ भी महत्वपूर्ण जोखिम में हैं। ब्लैकबाइट से निपटने के कुछ प्रयासों के बावजूद - जैसे कि अक्टूबर 2021 में ट्रस्टवेव द्वारा एक डिक्रिप्टर जारी करना - समूह ने अपने संचालन को परिष्कृत करना जारी रखा है, एन्क्रिप्शन से पहले डेटा एक्सफ़िल्टरेशन के लिए एक्सबाइट जैसे कस्टम टूल का उपयोग किया है।
जिस गति से ब्लैकबाइट और अन्य रैनसमवेयर समूह नई उजागर हुई कमज़ोरियों का फ़ायदा उठाते हैं, वह उनके द्वारा उत्पन्न किए जाने वाले हमेशा मौजूद ख़तरे की एक स्पष्ट याद दिलाता है। जैसे-जैसे वे अपनी तकनीकों को अनुकूलित और परिष्कृत करना जारी रखते हैं, संगठनों को सतर्क रहना चाहिए, यह सुनिश्चित करना चाहिए कि उनके सिस्टम को तुरंत पैच किया जाए और सुरक्षा उपाय इन उभरते हमलों का मुकाबला करने के लिए पर्याप्त मज़बूत हों।
अंतिम विचार
ब्लैकबाइट के नवीनतम हमले की लहर सक्रिय साइबर सुरक्षा उपायों के महत्व को रेखांकित करती है। चूंकि ब्लैकबाइट जैसे रैनसमवेयर समूह नई कमजोरियों और तकनीकों का लाभ उठाते हुए विकसित होते रहते हैं, इसलिए संगठनों को अपने महत्वपूर्ण बुनियादी ढांचे की सुरक्षा के लिए आगे रहना चाहिए। रैनसमवेयर के खिलाफ लड़ाई अभी खत्म नहीं हुई है, और सूचित रहना आपकी डिजिटल संपत्तियों की सुरक्षा में पहला कदम है।