„BlackByte Ransomware“ išnaudoja „VMware ESXi“ trūkumą ir pradeda naują kibernetinių grėsmių bangą
„BlackByte“ išpirkos reikalaujančių programų grupė grįžta ir šį kartą išnaudoja naujai pataisytą „VMware ESXi“ hipervizorių pažeidžiamumą, sukeldama nerimą kibernetinio saugumo srityje. Grupė, pagarsėjusi savo „ransomware-as-a-service“ (RaaS) modeliu, pasinaudojo šiuo trūkumu (CVE-2024-37085), kad sukompromituotų sistemas, o tai pažymėjo reikšmingą jų atakų strategijos evoliuciją.
Turinys
„VMware ESXi“ išnaudojimas: pavojingas poslinkis
Neseniai per atakos bangą buvo pastebėta, kad „BlackByte“ išnaudoja VMware ESXi autentifikavimo apėjimo pažeidžiamumą, leidžiantį užpuolikams įgyti hipervizoriaus administratoriaus teises. Šį pažeidžiamumą CVE-2024-37085 panaudojo įvairios išpirkos reikalaujančios grupės, tačiau „BlackByte“ jos naudojimas rodo pavojingą jų taktikos posūkį. Išnaudodami šį trūkumą grėsmės veikėjai galėjo išplėsti privilegijas, gauti neteisėtą prieigą prie sistemos žurnalų ir valdyti virtualias mašinas (VM).
Šis viešai prieinamų pažeidžiamumų išnaudojimas pirminei prieigai nėra naujiena BlackByte. Tačiau pastarasis jų perėjimas prie VPN prieigos, greičiausiai gautos per žiaurios jėgos atakas, pabrėžia jų prisitaikantį požiūrį. Naudodama galiojančius kredencialus, kad pasiektų aukos VPN, „BlackByte“ sugebėjo sumažinti organizacijos galinių taškų aptikimo ir reagavimo (EDR) sistemų matomumą, todėl jų atakos tapo dar labiau slaptos.
Pažeidžiamų vairuotojų vaidmuo išjungiant saugumą
Pagrindinis „BlackByte“ atakos strategijos komponentas apima pažeidžiamų tvarkyklių naudojimą, kad būtų išjungtos apsaugos priemonės. Ši technika vadinama „atsinešk savo pažeidžiamą tvarkyklę“ (BYOVD). Per savo naujausią ataką BlackByte įdiegė kelias pažeidžiamas tvarkykles, įskaitant RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys ir gdrv.sys, kad nutrauktų saugos procesus ir apeitų valdiklius. Šis metodas pasirodė esąs labai veiksmingas siekiant išvengti aptikimo, todėl išpirkos reikalaujančios programinės įrangos programa greitai plinta tinkluose.
Ransomware metodų evoliucija
„BlackByte“ pažanga nuo C# naudojimo iki „Go“, o dabar prie C/C++, jų išpirkos reikalaujančių programų šifruotoje atspindi sąmoningas pastangas padidinti kenkėjiškų programų atsparumą aptikimui ir analizei. Naujausioje „BlackByteNT“ versijoje įdiegtos pažangios antianalizės ir antiderinimo technikos, todėl kibernetinio saugumo specialistams sunkiau kovoti su grėsme.
Šis prisitaikymas yra dalis platesnės tendencijos tarp išpirkos reikalaujančių programų grupių, kaip pabrėžė naujausi tyrimai. „Cisco Talos“ atskleidžiama kartu su „Group-IB“ išvadomis, kuriose išsamiai aprašyta kitų „ransomware“ padermių, tokių kaip „Brain Cipher“ ir „RansomHub“, taktika. Šios grupės, panašios į „BlackByte“, išplėtojo savo metodus, priimdamos naujas programavimo kalbas ir metodus, kad neaplenktų saugumo priemonių.
Vykstanti grėsmė
Profesionalūs, mokslo ir techninių paslaugų sektoriai yra vieni labiausiai paveikti tokio tipo išpirkos reikalaujančių programų atakų, o gamybos ir švietimo paslaugoms taip pat gresia didelis pavojus. Nepaisant tam tikrų pastangų kovojant su BlackByte, pavyzdžiui, 2021 m. spalį „Trustwave“ išleido iššifravimo priemonę, grupė toliau tobulino savo veiklą, naudodama pasirinktinius įrankius, tokius kaip „ExByte“, kad būtų galima išfiltruoti duomenis prieš šifravimą.
Greitis, kuriuo „BlackByte“ ir kitos „ransomware“ grupės išnaudoja naujai atskleistas spragas, yra ryškus priminimas apie nuolatinę jų keliamą grėsmę. Tęsdamos savo metodų pritaikymą ir tobulinimą, organizacijos turi išlikti budrios, užtikrindamos, kad jų sistemos būtų greitai pataisytos ir kad saugumo priemonės būtų pakankamai tvirtos, kad atremtų šias besivystančias atakas.
Paskutinės mintys
Naujausia „BlackByte“ atakų banga pabrėžia aktyvių kibernetinio saugumo priemonių svarbą. Kadangi išpirkos reikalaujančių programų grupės, pvz., „BlackByte“, toliau vystosi, naudodamos naujus pažeidžiamumus ir technologijas, organizacijos turi išlikti priekyje, kad apsaugotų savo svarbiausią infrastruktūrą. Kova su išpirkos reikalaujančiomis programomis toli gražu nesibaigė, o informavimas yra pirmasis žingsnis siekiant apsaugoti savo skaitmeninį turtą.