BlackByte Ransomware iskorištava VMware ESXi propust pokrećući novi val cyber prijetnji
Grupa BlackByte ransomware se vratila, a ovaj put iskorištavaju nedavno zakrpanu ranjivost u VMware ESXi hipervizorima, podižući uzbunu u čitavom krajoliku kibernetičke sigurnosti. Grupa, ozloglašena po svom modelu ransomware-a-kao-usluge (RaaS), iskoristila je ovu grešku (CVE-2024-37085) za kompromitiranje sustava, označavajući značajnu evoluciju u njihovoj strategiji napada.
Sadržaj
Iskorištavanje VMware ESXi: Opasna promjena
U nedavnom valu napada primijećeno je da BlackByte iskorištava ranjivost zaobilaženja autentifikacije u VMware ESXi, koja napadačima omogućuje dobivanje administratorskih povlastica na hipervizoru. Ovu ranjivost, CVE-2024-37085, koristile su razne skupine ransomwarea kao oružje, ali BlackByteova upotreba iste signalizira opasan zaokret u njihovoj taktici. Iskorištavanjem ovog propusta akteri prijetnji mogli su eskalirati privilegije, dobiti neovlašteni pristup zapisnicima sustava i kontrolirati virtualne strojeve (VM).
Ovo iskorištavanje ranjivosti javnosti za početni pristup nije novost za BlackByte. Međutim, njihov nedavni prelazak na korištenje VPN pristupa, koji je vjerojatno dobiven brutalnim napadima, naglašava njihov prilagodljiv pristup. Iskorištavanjem važećih vjerodajnica za pristup žrtvinom VPN-u, BlackByte je uspio smanjiti vidljivost organizacijskih sustava za otkrivanje i odgovor na krajnje točke (EDR), čineći njihove napade još prikrivenijima.
Uloga ranjivih upravljačkih programa u onemogućavanju sigurnosti
Ključna komponenta BlackByteove strategije napada uključuje korištenje ranjivih upravljačkih programa za deaktiviranje sigurnosnih zaštita, tehniku poznatu kao "donesite vlastitog ranjivog upravljačkog programa" (BYOVD). U svom posljednjem napadu, BlackByte je implementirao više ranjivih upravljačkih programa, uključujući RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys i gdrv.sys, kako bi prekinuli sigurnosne procese i zaobišli kontrole. Ova se metoda pokazala vrlo učinkovitom u izbjegavanju otkrivanja, omogućujući ransomwareu da se brzo proširi mrežama.
Evolucija u Ransomware tehnikama
Napredak BlackBytea s korištenja C# na Go, a sada na C/C++, u njihovom kriptoru ransomwarea odražava namjeran napor da se poveća otpornost zlonamjernog softvera na otkrivanje i analizu. Najnovija verzija, BlackByteNT, uključuje napredne tehnike anti-analize i anti-debugginga, što profesionalcima za kibernetičku sigurnost čini još većim izazovom suprotstavljanje prijetnji.
Ova prilagodljivost dio je šireg trenda među skupinama ransomwarea, kako je istaknuto u nedavnim istraživanjima. Otkrivanje Cisco Talosa dolazi zajedno sa nalazima Group-IB-a, koji detaljno opisuje taktike drugih sojeva ransomwarea kao što su Brain Cipher i RansomHub. Te su grupe, slično BlackByteu, razvile svoje metode, usvajajući nove programske jezike i tehnike kako bi bile ispred sigurnosnih mjera.
Trajna prijetnja
Sektori profesionalnih, znanstvenih i tehničkih usluga među najizloženijima su ovim vrstama napada ransomwarea, a proizvodnja i obrazovne usluge također su u značajnoj opasnosti. Unatoč nekim naporima u borbi protiv BlackBytea – kao što je Trustwaveov izdanje dekriptora u listopadu 2021. – grupa je nastavila usavršavati svoje operacije, koristeći prilagođene alate kao što je ExByte za ekstrakciju podataka prije enkripcije.
Brzina kojom BlackByte i druge ransomware skupine iskorištavaju novootkrivene ranjivosti jasan je podsjetnik na sveprisutnu prijetnju koju predstavljaju. Dok nastavljaju prilagođavati i usavršavati svoje tehnike, organizacije moraju ostati na oprezu, osiguravajući da se njihovi sustavi brzo zakrpaju i da su sigurnosne mjere dovoljno robusne da se suprotstave ovim sve većim napadima.
Završne misli
Najnoviji val napada BlackBytea naglašava važnost proaktivnih mjera kibernetičke sigurnosti. Kako se skupine ransomwarea kao što je BlackByte nastavljaju razvijati, iskorištavajući nove ranjivosti i tehnike, organizacije moraju biti ispred krivulje kako bi zaštitile svoju kritičnu infrastrukturu. Bitka protiv ransomwarea daleko je od kraja, a informiranje je prvi korak u zaštiti vaše digitalne imovine.