다중 라이센스 할인 견적
컴퓨터 보안 BlackByte 랜섬웨어, VMware ESXi 결함 악용해 새로운 사이버 위협 물결 발생

BlackByte 랜섬웨어, VMware ESXi 결함 악용해 새로운 사이버 위협 물결 발생

컴퓨터 보안년에 Mura 년까지
번역 :
한국어

BlackByte 랜섬웨어 그룹이 돌아왔습니다. 이번에는 VMware ESXi 하이퍼바이저의 새롭게 패치된 취약성을 악용하여 사이버 보안 환경 전반에 경각심을 고조시키고 있습니다. 랜섬웨어 서비스(RaaS) 모델로 악명 높은 이 그룹은 이 결함(CVE-2024-37085)을 활용하여 시스템을 손상시켜 공격 전략에 상당한 진화를 이루었습니다.

VMware ESXi 활용: 위험한 변화

최근의 공격 웨이브에서 BlackByte는 VMware ESXi의 인증 우회 취약성을 악용하는 것으로 관찰되었습니다. 이 취약성(CVE-2024-37085)은 다양한 랜섬웨어 그룹에서 무기화했지만 BlackByte가 이를 사용한 것은 그들의 전략에서 위험한 전환을 알렸습니다. 이 결함을 악용하여 위협 행위자는 권한을 확대하고, 시스템 로그에 대한 무단 액세스를 얻고, 가상 머신(VM)을 제어할 수 있었습니다.

BlackByte의 초기 접근을 위한 공개 취약성 악용은 새로운 일이 아닙니다. 그러나 최근 VPN 접근을 사용하기로 한 것은 무차별 대입 공격을 통해 얻은 것으로 보이며, 이는 적응적 접근 방식을 강조합니다. BlackByte는 유효한 자격 증명을 활용하여 피해자의 VPN에 접근함으로써 조직의 엔드포인트 탐지 및 대응(EDR) 시스템에서 가시성을 낮추어 공격을 더욱 은밀하게 만들었습니다.

보안을 비활성화하는 취약한 드라이버의 역할

BlackByte의 공격 전략의 핵심 구성 요소는 취약한 드라이버를 사용하여 보안 보호 기능을 해제하는 것입니다. 이 기술은 "Bring Your Own Vulnerable Driver"(BYOVD)로 알려져 있습니다. BlackByte는 최근 공격에서 RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys, gdrv.sys를 포함한 여러 취약한 드라이버를 배포하여 보안 프로세스를 종료하고 제어를 우회했습니다. 이 방법은 탐지를 회피하는 데 매우 효과적인 것으로 입증되어 랜섬웨어가 네트워크 전반에 빠르게 확산될 수 있었습니다.

랜섬웨어 기술의 진화

BlackByte가 랜섬웨어 암호화기에서 C#에서 Go로, 그리고 지금은 C/C++로 발전한 것은 맬웨어의 탐지 및 분석에 대한 회복력을 강화하려는 의도적인 노력을 반영합니다. 최신 버전인 BlackByteNT는 고급 안티 분석 및 안티 디버깅 기술을 통합하여 사이버 보안 전문가가 위협에 대처하기 어렵게 만들었습니다.

이러한 적응성은 최근 연구에서 강조된 바와 같이 랜섬웨어 그룹들 사이에서 나타나는 더 광범위한 추세의 일부입니다. Cisco Talos의 공개는 Brain Cipher 및 RansomHub와 같은 다른 랜섬웨어 변종의 전술을 자세히 설명한 Group-IB의 연구 결과와 함께 제공됩니다. BlackByte와 유사한 이러한 그룹은 보안 조치보다 앞서 나가기 위해 새로운 프로그래밍 언어와 기술을 채택하여 방법을 발전시켰습니다.

계속되는 위협

전문, 과학 및 기술 서비스 부문은 이러한 유형의 랜섬웨어 공격에 가장 많이 노출되어 있으며, 제조 및 교육 서비스도 상당한 위험에 처해 있습니다. 2021년 10월 Trustwave가 복호화기를 출시하는 등 BlackByte에 맞서기 위한 몇 가지 노력에도 불구하고, 이 그룹은 암호화 전에 데이터 유출을 위해 ExByte와 같은 맞춤형 도구를 사용하여 운영을 계속 개선해 왔습니다.

BlackByte와 다른 랜섬웨어 그룹이 새롭게 공개된 취약점을 악용하는 속도는 그들이 항상 존재하는 위협을 뚜렷하게 상기시켜줍니다. 그들이 기술을 계속 적응하고 개선함에 따라 조직은 경계를 늦추지 않고 시스템에 즉시 패치를 적용하고 보안 조치가 이러한 진화하는 공격에 대응할 만큼 충분히 강력해야 합니다.

마지막 생각

BlackByte의 최근 공격 물결은 선제적 사이버 보안 조치의 중요성을 강조합니다. BlackByte와 같은 랜섬웨어 그룹이 새로운 취약점과 기술을 활용하여 계속 진화함에 따라 조직은 중요한 인프라를 보호하기 위해 곡선보다 앞서 나가야 합니다. 랜섬웨어와의 전쟁은 끝나지 않았으며, 정보를 얻는 것이 디지털 자산을 보호하는 첫 번째 단계입니다.

로드 중...