A BlackByte Ransomware kihasználja a VMware ESXi hibát, és a kiberfenyegetések új hullámát indítja el
A BlackByte ransomware csoport visszatért, és ezúttal a VMware ESXi hipervizorok újonnan kijavított sebezhetőségét használják ki, riadalmat keltve a kiberbiztonsági környezetben. A ransomware-as-a-service (RaaS) modelljéről hírhedt csoport ezt a hibát (CVE-2024-37085) kihasználva kompromittálja a rendszereket, ami jelentős fejlődést jelez támadási stratégiájában.
Tartalomjegyzék
A VMware ESXi: A Dangerous Shift kihasználása
Egy közelmúltbeli támadási hullám során a BlackByte-ot a VMware ESXi hitelesítési megkerülési sebezhetőségét kihasználva figyelték meg, amely lehetővé teszi a támadók számára, hogy rendszergazdai jogosultságokat szerezzenek a hypervisoron. Ezt a sérülékenységet, a CVE-2024-37085, különböző ransomware-csoportok fegyverezték fel, de a BlackByte használata veszélyes fordulatot jelez a taktikájukban. Ezt a hibát kihasználva a fenyegetés szereplői kiterjeszthették a jogosultságokat, jogosulatlan hozzáférést szerezhettek a rendszernaplókhoz, és irányíthatták a virtuális gépeket (VM-eket).
A nyilvános sebezhetőségek kezdeti hozzáférés céljából történő kihasználása nem újdonság a BlackByte számára. Azonban a közelmúltban a VPN-hozzáférés használatára való áttérésük, amelyet valószínűleg nyers erejű támadások révén szereztek, rávilágít adaptív megközelítésükre. Azáltal, hogy érvényes hitelesítő adatokat használt fel az áldozat VPN-jéhez, a BlackByte csökkentette a szervezet végpontészlelési és válaszadási (EDR) rendszereinek láthatóságát, így a támadások még rejtettebbek lettek.
A sebezhető illesztőprogramok szerepe a biztonság letiltásában
A BlackByte támadási stratégiájának egyik kulcsfontosságú eleme a sebezhető illesztőprogramok használata a biztonsági védelem hatástalanítására, ez a technika „hozd be saját sebezhető illesztőprogramodat” (BYOVD). Legújabb támadásukban a BlackByte több sebezhető illesztőprogramot telepített, köztük az RtCore64.sys-t, a DBUtil_2_3.sys-t, a zamguard64.sys-t és a gdrv.sys-t a biztonsági folyamatok leállítására és a vezérlők megkerülésére. Ez a módszer rendkívül hatékonynak bizonyult az észlelés elkerülésében, lehetővé téve a ransomware gyors terjedését a hálózatokon.
A Ransomware technikák evolúciója
A BlackByte zsarolóvírus-titkosítójukban a C# használatáról a Go-ra, most pedig a C/C++-ra való fejlődése azt a szándékos erőfeszítést tükrözi, hogy növelje a kártevő észleléssel és elemzéssel szembeni ellenálló képességét. A legújabb verzió, a BlackByteNT fejlett anti-elemzési és hibakeresési technikákat tartalmaz, így nagyobb kihívást jelent a kiberbiztonsági szakemberek számára a fenyegetés leküzdése.
Ez az alkalmazkodóképesség a ransomware-csoportok körében tapasztalható szélesebb trend része, amint azt a közelmúltbeli kutatások is kiemelték. A Cisco Talos közzététele a Group-IB megállapításai mellett érkezett, amelyek részletezték más ransomware-törzsek, például a Brain Cipher és a RansomHub taktikáját. Ezek a csoportok, hasonlóan a BlackByte-hoz, fejlesztették módszereiket, új programozási nyelveket és technikákat alkalmaztak, hogy a biztonsági intézkedések előtt maradjanak.
A folyamatos fenyegetés
A professzionális, tudományos és műszaki szolgáltatások szektora az egyik leginkább kitéve az ilyen típusú ransomware támadásoknak, és a gyártási és oktatási szolgáltatások is jelentős kockázatnak vannak kitéve. A BlackByte elleni küzdelem érdekében tett erőfeszítések ellenére – például a Trustwave 2021 októberében kiadott egy dekódolót – a csoport továbbra is finomította működését, és olyan egyéni eszközöket alkalmaz, mint az ExByte a titkosítás előtti adatszivárgás érdekében.
Az a sebesség, amellyel a BlackByte és más ransomware csoportok kihasználják az újonnan feltárt sebezhetőségeket, határozottan emlékeztet az általuk jelentett állandó veszélyre. Miközben folyamatosan alkalmazkodnak és finomítják technikáikat, a szervezeteknek ébernek kell maradniuk, ügyelve arra, hogy rendszereiket azonnal javítsák, és hogy a biztonsági intézkedések elég robusztusak legyenek a kialakuló támadások ellen.
Végső gondolatok
A BlackByte legújabb támadási hulláma rávilágít a proaktív kiberbiztonsági intézkedések fontosságára. Ahogy a BlackByte-hoz hasonló zsarolóprogram-csoportok folyamatosan fejlődnek, kihasználva az új sebezhetőségeket és technikákat, a szervezeteknek az élen kell maradniuk kritikus infrastruktúrájuk védelme érdekében. A zsarolóprogramok elleni küzdelem még korántsem ért véget, és a tájékozottság az első lépés digitális eszközei védelmében.