សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
សុវត្ថិភាពកុំព្យូទ័រ BlackByte Ransomware កេងប្រវ័ញ្ចកំហុស VMware ESXi...

BlackByte Ransomware កេងប្រវ័ញ្ចកំហុស VMware ESXi ចាប់ផ្តើមរលកថ្មីនៃការគំរាមកំហែងតាមអ៊ីនធឺណិត

ដោយ Mura ក្នុង សុវត្ថិភាពកុំព្យូទ័រ
បកប្រែទៅ៖
ភាសាខ្មែរ

ក្រុម ransomware របស់ BlackByte បានត្រលប់មកវិញហើយ ហើយនៅពេលនេះ ពួកគេកំពុងទាញយកភាពងាយរងគ្រោះដែលបានជួសជុលថ្មីនៅក្នុង VMware ESXi hypervisors ដោយបង្កើនការជូនដំណឹងនៅទូទាំងទិដ្ឋភាពសន្តិសុខតាមអ៊ីនធឺណិត។ ក្រុមដែលល្បីល្បាញសម្រាប់ម៉ូដែល ransomware-as-a-service (RaaS) របស់ខ្លួនបានប្រើប្រាស់គុណវិបត្តិនេះ (CVE-2024-37085) ដើម្បីសម្របសម្រួលប្រព័ន្ធ ដោយសម្គាល់ការវិវត្តដ៏សំខាន់នៅក្នុងយុទ្ធសាស្ត្រវាយប្រហាររបស់ពួកគេ។

ការទាញយក VMware ESXi: ការផ្លាស់ប្តូរដ៏គ្រោះថ្នាក់

នៅក្នុងរលកនៃការវាយប្រហារនាពេលថ្មីៗនេះ BlackByte ត្រូវបានគេសង្កេតឃើញកំពុងកេងប្រវ័ញ្ចលើភាពងាយរងគ្រោះឆ្លងកាត់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៅក្នុង VMware ESXi ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារទទួលបានសិទ្ធិជាអ្នកគ្រប់គ្រងនៅលើ hypervisor ។ ភាពងាយរងគ្រោះនេះ CVE-2024-37085 ត្រូវបានបំពាក់ដោយក្រុម ransomware ផ្សេងៗ ប៉ុន្តែការប្រើប្រាស់របស់ BlackByte បង្ហាញសញ្ញានៃចំនុចគ្រោះថ្នាក់នៅក្នុងយុទ្ធសាស្ត្ររបស់ពួកគេ។ តាមរយៈការទាញយកគុណវិបត្តិនេះ តួអង្គគំរាមកំហែងអាចបង្កើនសិទ្ធិ ទទួលបានសិទ្ធិចូលប្រើកំណត់ហេតុប្រព័ន្ធដោយគ្មានការអនុញ្ញាត និងគ្រប់គ្រងម៉ាស៊ីននិម្មិត (VMs)។

ការកេងប្រវ័ញ្ចលើភាពងាយរងគ្រោះដែលប្រឈមមុខនឹងសាធារណៈសម្រាប់ការចូលប្រើដំបូងនេះមិនមែនជារឿងថ្មីសម្រាប់ BlackByte នោះទេ។ ទោះជាយ៉ាងណាក៏ដោយ ការផ្លាស់ប្តូរថ្មីៗរបស់ពួកគេចំពោះការប្រើប្រាស់ការចូលប្រើ VPN ដែលទំនងជាទទួលបានតាមរយៈការវាយប្រហារដោយបង្ខំ បង្ហាញពីវិធីសាស្រ្តសម្របខ្លួនរបស់ពួកគេ។ តាមរយៈការប្រើប្រាស់ព័ត៌មានសម្ងាត់ដែលមានសុពលភាពដើម្បីចូលប្រើ VPN របស់ជនរងគ្រោះ BlackByte បានគ្រប់គ្រងកាត់បន្ថយការមើលឃើញពីប្រព័ន្ធការរកឃើញ និងការឆ្លើយតប (EDR) របស់ស្ថាប័នដែលធ្វើឲ្យការវាយប្រហាររបស់ពួកគេកាន់តែលួចលាក់។

តួនាទីរបស់អ្នកបើកបរដែលងាយរងគ្រោះក្នុងការបិទសុវត្ថិភាព

ធាតុផ្សំសំខាន់នៃយុទ្ធសាស្ត្រវាយប្រហាររបស់ BlackByte ពាក់ព័ន្ធនឹងការប្រើប្រាស់កម្មវិធីបញ្ជាដែលងាយរងគ្រោះដើម្បីដកអាវុធការពារសុវត្ថិភាព ដែលជាបច្ចេកទេសដែលគេស្គាល់ថាជា "នាំអ្នកបើកបរដែលងាយរងគ្រោះដោយខ្លួនឯង" (BYOVD) ។ នៅក្នុងការវាយប្រហារចុងក្រោយរបស់ពួកគេ BlackByte បានដាក់ពង្រាយកម្មវិធីបញ្ជាដែលងាយរងគ្រោះជាច្រើន រួមទាំង RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys និង gdrv.sys ដើម្បីបញ្ចប់ដំណើរការសុវត្ថិភាព និងការគ្រប់គ្រងឆ្លងកាត់។ វិធីសាស្រ្តនេះបានបង្ហាញថាមានប្រសិទ្ធភាពខ្ពស់ក្នុងការគេចពីការរាវរក ដែលអនុញ្ញាតឱ្យ ransomware រីករាលដាលយ៉ាងឆាប់រហ័សនៅទូទាំងបណ្តាញ។

ការវិវត្តន៍នៅក្នុងបច្ចេកទេស Ransomware

ការវិវត្តរបស់ BlackByte ពីការប្រើប្រាស់ C# ទៅ Go ហើយឥឡូវនេះទៅ C/C++ នៅក្នុងឧបករណ៍បំប្លែង ransomware របស់ពួកគេឆ្លុះបញ្ចាំងពីការខិតខំប្រឹងប្រែងដោយចេតនាដើម្បីបង្កើនភាពធន់របស់មេរោគប្រឆាំងនឹងការរកឃើញ និងការវិភាគ។ កំណែចុងក្រោយបំផុត BlackByteNT រួមបញ្ចូលនូវបច្ចេកទេសប្រឆាំងការវិភាគ និងប្រឆាំងការបំបាត់កំហុសកម្រិតខ្ពស់ ដែលធ្វើឱ្យវាកាន់តែពិបាកសម្រាប់អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតដើម្បីប្រឆាំងនឹងការគំរាមកំហែង។

ភាពប្រែប្រួលនេះគឺជាផ្នែកមួយនៃនិន្នាការទូលំទូលាយក្នុងចំណោមក្រុម ransomware ដូចដែលបានគូសបញ្ជាក់ដោយការស្រាវជ្រាវថ្មីៗ។ ការលាតត្រដាងពី Cisco Talos ភ្ជាប់មកជាមួយការរកឃើញពី Group-IB ដែលរៀបរាប់លម្អិតអំពីយុទ្ធសាស្ត្រនៃមេរោគ ransomware ផ្សេងទៀតដូចជា Brain Cipher និង RansomHub ។ ក្រុមទាំងនេះស្រដៀងទៅនឹង BlackByte បានវិវឌ្ឍវិធីសាស្រ្តរបស់ពួកគេ ដោយទទួលយកភាសាកម្មវិធី និងបច្ចេកទេសថ្មីៗ ដើម្បីបន្តវិធានការសុវត្ថិភាព។

ការគំរាមកំហែងដែលកំពុងបន្ត

វិស័យសេវាកម្មវិជ្ជាជីវៈ វិទ្យាសាស្រ្ត និងបច្ចេកទេស ស្ថិតក្នុងចំណោមផ្នែកដែលប្រឈមមុខនឹងការវាយប្រហារ ransomware ច្រើនបំផុត ដោយការផលិត និងសេវាកម្មអប់រំក៏មានហានិភ័យខ្ពស់ផងដែរ។ ទោះបីជាមានការខិតខំប្រឹងប្រែងមួយចំនួនដើម្បីប្រយុទ្ធប្រឆាំងនឹង BlackByte — ដូចជាការចេញផ្សាយឧបករណ៍ឌិគ្រីបដោយ Trustwave ក្នុងខែតុលា ឆ្នាំ 2021 ក៏ដោយ ក្រុមបានបន្តកែលម្អប្រតិបត្តិការរបស់ខ្លួន ដោយប្រើប្រាស់ឧបករណ៍ផ្ទាល់ខ្លួនដូចជា ExByte សម្រាប់ការទាញយកទិន្នន័យមុនពេលការអ៊ិនគ្រីប។

ល្បឿនដែល BlackByte និងក្រុម ransomware ផ្សេងទៀតទាញយកភាពងាយរងគ្រោះដែលទើបនឹងបង្ហាញគឺជាការរំលឹកយ៉ាងច្បាស់អំពីការគំរាមកំហែងដែលមិនធ្លាប់មានដែលពួកគេបង្ក។ នៅពេលដែលពួកគេបន្តសម្របខ្លួន និងកែលម្អបច្ចេកទេសរបស់ពួកគេ អង្គការនានាត្រូវតែមានការប្រុងប្រយ័ត្ន ដោយធានាថាប្រព័ន្ធរបស់ពួកគេត្រូវបានជួសជុលភ្លាមៗ ហើយវិធានការសុវត្ថិភាពមានភាពរឹងមាំគ្រប់គ្រាន់ដើម្បីទប់ទល់នឹងការវាយប្រហារដែលកំពុងវិវត្តទាំងនេះ។

គំនិតចុងក្រោយ

រលកវាយប្រហារចុងក្រោយបំផុតរបស់ BlackByte គូសបញ្ជាក់អំពីសារៈសំខាន់នៃវិធានការសុវត្ថិភាពតាមអ៊ីនធឺណិតសកម្ម។ ដោយសារក្រុម ransomware ដូចជា BlackByte បន្តវិវឌ្ឍ ដោយប្រើប្រាស់ភាពងាយរងគ្រោះ និងបច្ចេកទេសថ្មីៗ អង្គការត្រូវតែនៅពីមុខខ្សែកោងដើម្បីការពារហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗរបស់ពួកគេ។ ការប្រយុទ្ធប្រឆាំងនឹង ransomware គឺនៅឆ្ងាយជាងនេះ ហើយការបន្តជូនដំណឹងគឺជាជំហានដំបូងក្នុងការការពារទ្រព្យសម្បត្តិឌីជីថលរបស់អ្នក។

កំពុង​ផ្ទុក...