BlackByte Ransomware izmanto VMware ESXi kļūdu, uzsākot jaunu kiberdraudu vilni
BlackByte ransomware grupa ir atgriezusies, un šoreiz viņi izmanto VMware ESXi hipervizoru nesen aizlāpītu ievainojamību, radot trauksmi visā kiberdrošības vidē. Grupa, kas ir bēdīgi slavena ar savu ransomware-as-a-service (RaaS) modeli, ir izmantojusi šo trūkumu (CVE-2024-37085), lai kompromitētu sistēmas, iezīmējot būtisku attīstību savā uzbrukuma stratēģijā.
Satura rādītājs
VMware ESXi izmantošana: bīstama maiņa
Nesenā uzbrukuma vilnī tika novērots, ka BlackByte izmanto VMware ESXi autentifikācijas apiešanas ievainojamību, kas ļauj uzbrucējiem iegūt hipervizora administratora privilēģijas. Šo ievainojamību CVE-2024-37085 ir izmantojušas dažādas izspiedējvīrusu grupas, taču BlackByte tās izmantošana liecina par bīstamu to taktiku. Izmantojot šo trūkumu, apdraudējuma dalībnieki varēja palielināt privilēģijas, iegūt nesankcionētu piekļuvi sistēmas žurnāliem un kontrolēt virtuālās mašīnas (VM).
Šī publiski pieejamo ievainojamību izmantošana sākotnējai piekļuvei BlackByte nav nekas jauns. Tomēr viņu nesenā pāreja uz VPN piekļuves izmantošanu, kas, iespējams, iegūta, izmantojot brutālu spēku uzbrukumus, izceļ viņu adaptīvo pieeju. Izmantojot derīgus akreditācijas datus, lai piekļūtu upura VPN, BlackByte ir izdevies samazināt redzamību no organizācijas galapunktu noteikšanas un reaģēšanas (EDR) sistēmām, padarot viņu uzbrukumus vēl slepenākus.
Neaizsargātu draiveru loma drošības atspējošanā
Galvenā BlackByte uzbrukuma stratēģijas sastāvdaļa ietver ievainojamu draiveru izmantošanu, lai atslēgtu drošības aizsardzību, kas pazīstama kā "atnesiet savu neaizsargāto draiveri" (BYOVD). Savā jaunākajā uzbrukumā BlackByte izvietoja vairākus ievainojamus draiverus, tostarp RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys un gdrv.sys, lai pārtrauktu drošības procesus un apietu vadīklas. Šī metode ir izrādījusies ļoti efektīva, lai izvairītos no atklāšanas, ļaujot izpirkuma programmatūrai ātri izplatīties tīklos.
Ransomware metožu evolūcija
BlackByte pāreja no C# izmantošanas uz Go un tagad uz C/C++ savā izpirkuma programmatūras šifrētājā atspoguļo apzinātus centienus uzlabot ļaunprātīgas programmatūras noturību pret atklāšanu un analīzi. Jaunākajā versijā BlackByteNT ir iekļautas uzlabotas pretanalīzes un pretatkļūdošanas metodes, tādējādi kiberdrošības profesionāļiem ir grūtāk cīnīties pret draudiem.
Šī pielāgošanās spēja ir daļa no plašākas tendences starp izspiedējvīrusu grupām, kā uzsvērts jaunākajos pētījumos. Cisco Talos sniegtā informācija nāk kopā ar Group-IB konstatējumiem, kuros sīki aprakstīta citu izspiedējvīrusu, piemēram, Brain Cipher un RansomHub, taktika. Šīs grupas, līdzīgi kā BlackByte, ir attīstījušas savas metodes, pieņemot jaunas programmēšanas valodas un metodes, lai apsteigtu drošības pasākumus.
Pastāvīgie draudi
Profesionālo, zinātnisko un tehnisko pakalpojumu sektors ir viens no visvairāk pakļautajiem šāda veida izspiedējvīrusu uzbrukumiem, un arī ražošanas un izglītības pakalpojumi ir pakļauti ievērojamam riskam. Neskatoties uz dažiem centieniem apkarot BlackByte, piemēram, Trustwave 2021. gada oktobrī izlaida atšifrētāju, grupa ir turpinājusi pilnveidot savas darbības, izmantojot pielāgotus rīkus, piemēram, ExByte datu izfiltrēšanai pirms šifrēšanas.
Ātrums, ar kādu BlackByte un citas izspiedējvīrusu grupas izmanto nesen atklātās ievainojamības, ir spilgts atgādinājums par to pastāvošajiem draudiem. Turpinot pielāgot un pilnveidot savus paņēmienus, organizācijām ir jāsaglabā modrība, nodrošinot, ka to sistēmas tiek ātri izlabotas un ka drošības pasākumi ir pietiekami izturīgi, lai cīnītos pret šiem uzbrukumiem.
Pēdējās domas
BlackByte jaunākais uzbrukuma vilnis uzsver proaktīvu kiberdrošības pasākumu nozīmi. Tā kā izspiedējvīrusu grupas, piemēram, BlackByte, turpina attīstīties, izmantojot jaunas ievainojamības un metodes, organizācijām ir jāpaliek priekšā līknei, lai aizsargātu savu kritisko infrastruktūru. Cīņa pret izspiedējvīrusu vēl nebūt nav beigusies, un būt informētam ir pirmais solis, lai aizsargātu jūsu digitālos īpašumus.