Il ransomware BlackByte sfrutta la falla di VMware ESXi lanciando una nuova ondata di minacce informatiche
Il gruppo ransomware BlackByte è tornato e questa volta sta sfruttando una vulnerabilità appena patchata negli hypervisor VMware ESXi, scatenando l'allarme nel panorama della sicurezza informatica. Il gruppo, noto per il suo modello ransomware-as-a-service (RaaS), ha sfruttato questa falla (CVE-2024-37085) per compromettere i sistemi, segnando un'evoluzione significativa nella sua strategia di attacco.
Sommario
Sfruttare VMware ESXi: un cambiamento pericoloso
In una recente ondata di attacchi, BlackByte è stato osservato mentre sfruttava una vulnerabilità di bypass dell'autenticazione in VMware ESXi, che consente agli aggressori di ottenere privilegi di amministratore sull'hypervisor. Questa vulnerabilità, CVE-2024-37085, è stata sfruttata da vari gruppi ransomware, ma l'uso di BlackByte segnala un pericoloso cambiamento nelle loro tattiche. Sfruttando questa falla, gli autori della minaccia sono stati in grado di aumentare i privilegi, ottenere l'accesso non autorizzato ai registri di sistema e controllare le macchine virtuali (VM).
Questo sfruttamento delle vulnerabilità rivolte al pubblico per l'accesso iniziale non è una novità per BlackByte. Tuttavia, il loro recente passaggio all'uso dell'accesso VPN, probabilmente ottenuto tramite attacchi brute-force, evidenzia il loro approccio adattivo. Sfruttando credenziali valide per accedere alla VPN di una vittima, BlackByte è riuscita a ridurre la visibilità dai sistemi di endpoint detection and response (EDR) dell'organizzazione, rendendo i loro attacchi ancora più furtivi.
Il ruolo dei driver vulnerabili nella disattivazione della sicurezza
Una componente chiave della strategia di attacco di BlackByte prevede l'uso di driver vulnerabili per disattivare le protezioni di sicurezza, una tecnica nota come "bring your own vulnerability driver" (BYOVD). Nel loro ultimo attacco, BlackByte ha distribuito più driver vulnerabili, tra cui RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys e gdrv.sys, per terminare i processi di sicurezza e bypassare i controlli. Questo metodo ha dimostrato di essere altamente efficace nell'elusione del rilevamento, consentendo al ransomware di diffondersi rapidamente sulle reti.
Evoluzione nelle tecniche di ransomware
Il passaggio di BlackByte dall'uso di C# a Go, e ora a C/C++, nel suo crittografo ransomware riflette uno sforzo deliberato per migliorare la resilienza del malware contro il rilevamento e l'analisi. L'ultima versione, BlackByteNT, incorpora tecniche avanzate di anti-analisi e anti-debug, rendendo più difficile per i professionisti della sicurezza informatica contrastare la minaccia.
Questa adattabilità fa parte di una tendenza più ampia tra i gruppi ransomware, come evidenziato da una ricerca recente. La divulgazione di Cisco Talos si accompagna alle scoperte di Group-IB, che ha descritto in dettaglio le tattiche di altri ceppi ransomware come Brain Cipher e RansomHub. Questi gruppi, simili a BlackByte, hanno evoluto i loro metodi, adottando nuovi linguaggi di programmazione e tecniche per rimanere al passo con le misure di sicurezza.
La minaccia continua
I settori dei servizi professionali, scientifici e tecnici sono tra i più esposti a questi tipi di attacchi ransomware, con i servizi di produzione e istruzione a rischio significativo. Nonostante alcuni sforzi per combattere BlackByte, come il rilascio di un decryptor da parte di Trustwave nell'ottobre 2021, il gruppo ha continuato a perfezionare le sue operazioni, impiegando strumenti personalizzati come ExByte per l'esfiltrazione dei dati prima della crittografia.
La velocità con cui BlackByte e altri gruppi ransomware sfruttano le vulnerabilità appena divulgate è un duro promemoria della minaccia sempre presente che rappresentano. Mentre continuano ad adattarsi e perfezionare le loro tecniche, le organizzazioni devono rimanere vigili, assicurandosi che i loro sistemi siano patchati tempestivamente e che le misure di sicurezza siano sufficientemente robuste per contrastare questi attacchi in evoluzione.
Considerazioni finali
L'ultima ondata di attacchi di BlackByte sottolinea l'importanza di misure di sicurezza informatica proattive. Mentre gruppi ransomware come BlackByte continuano a evolversi, sfruttando nuove vulnerabilità e tecniche, le organizzazioni devono rimanere all'avanguardia per proteggere la propria infrastruttura critica. La battaglia contro il ransomware è tutt'altro che finita e restare informati è il primo passo per salvaguardare i propri asset digitali.