BlackByte Ransomware Memanfaatkan Cacat VMware ESXi Melancarkan Gelombang Baharu Ancaman Siber
Kumpulan perisian tebusan BlackByte kembali, dan kali ini, mereka mengeksploitasi kerentanan yang baru ditampal dalam hipervisor VMware ESXi, meningkatkan penggera merentasi landskap keselamatan siber. Kumpulan itu, yang terkenal dengan model ransomware-as-a-service (RaaS), telah memanfaatkan kelemahan ini (CVE-2024-37085) untuk menjejaskan sistem, menandakan evolusi yang ketara dalam strategi serangan mereka.
Isi kandungan
Mengeksploitasi VMware ESXi: Anjakan Berbahaya
Dalam gelombang serangan baru-baru ini, BlackByte diperhatikan mengeksploitasi kelemahan pintasan pengesahan dalam VMware ESXi, yang membolehkan penyerang mendapat keistimewaan pentadbir pada hipervisor. Kerentanan ini, CVE-2024-37085, telah dipersenjatai oleh pelbagai kumpulan perisian tebusan, tetapi penggunaan BlackByte itu menandakan pivot berbahaya dalam taktik mereka. Dengan mengeksploitasi kelemahan ini, pelaku ancaman dapat meningkatkan keistimewaan, memperoleh akses tanpa kebenaran kepada log sistem dan mengawal mesin maya (VM).
Eksploitasi kelemahan yang dihadapi oleh orang ramai untuk akses awal ini bukanlah perkara baharu untuk BlackByte. Walau bagaimanapun, peralihan mereka baru-baru ini kepada menggunakan akses VPN, mungkin diperoleh melalui serangan kekerasan, menyerlahkan pendekatan penyesuaian mereka. Dengan memanfaatkan kelayakan yang sah untuk mengakses VPN mangsa, BlackByte telah berjaya mengurangkan keterlihatan daripada sistem pengesanan dan tindak balas titik akhir (EDR) organisasi, menjadikan serangan mereka lebih tersembunyi.
Peranan Pemandu Rentan dalam Melumpuhkan Keselamatan
Komponen utama strategi serangan BlackByte melibatkan penggunaan pemandu yang terdedah untuk melucutkan senjata perlindungan keselamatan, teknik yang dikenali sebagai "bawa pemandu terdedah anda sendiri" (BYOVD). Dalam serangan terbaru mereka, BlackByte menggunakan berbilang pemacu yang terdedah, termasuk RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys dan gdrv.sys, untuk menamatkan proses keselamatan dan kawalan pintasan. Kaedah ini telah terbukti sangat berkesan dalam mengelak pengesanan, membolehkan perisian tebusan merebak dengan pantas merentasi rangkaian.
Evolusi dalam Teknik Ransomware
Perkembangan BlackByte daripada menggunakan C# to Go, dan kini kepada C/C++, dalam penyulitan perisian tebusan mereka mencerminkan usaha yang disengajakan untuk meningkatkan daya tahan perisian hasad terhadap pengesanan dan analisis. Versi terbaharu, BlackByteNT, menggabungkan teknik anti-analisis dan anti-debug, menjadikannya lebih mencabar bagi profesional keselamatan siber untuk menentang ancaman.
Kebolehsuaian ini adalah sebahagian daripada trend yang lebih luas dalam kalangan kumpulan perisian tebusan, seperti yang diserlahkan oleh penyelidikan baru-baru ini. Pendedahan daripada Cisco Talos datang bersama penemuan daripada Group-IB, yang memperincikan taktik rangkaian perisian tebusan lain seperti Brain Cipher dan RansomHub. Kumpulan ini, serupa dengan BlackByte, telah mengembangkan kaedah mereka, menggunakan bahasa dan teknik pengaturcaraan baharu untuk mendahului langkah keselamatan.
Ancaman Berterusan
Sektor perkhidmatan profesional, saintifik dan teknikal adalah antara yang paling terdedah kepada jenis serangan perisian tebusan ini, dengan perkhidmatan pembuatan dan pendidikan juga berisiko tinggi. Walaupun terdapat beberapa usaha untuk memerangi BlackByte—seperti keluaran penyahsulit oleh Trustwave pada Oktober 2021—kumpulan itu terus memperhalusi operasinya, menggunakan alat tersuai seperti ExByte untuk penyulitan data sebelum penyulitan.
Kepantasan BlackByte dan kumpulan perisian tebusan lain mengeksploitasi kerentanan yang baru didedahkan adalah peringatan yang jelas tentang ancaman yang sentiasa ada yang mereka timbulkan. Sambil mereka terus menyesuaikan dan memperhalusi teknik mereka, organisasi mesti kekal berwaspada, memastikan sistem mereka ditambal dengan segera dan langkah keselamatan cukup teguh untuk mengatasi serangan yang berkembang ini.
Fikiran Akhir
Gelombang serangan terbaru BlackByte menggariskan kepentingan langkah keselamatan siber yang proaktif. Memandangkan kumpulan perisian tebusan seperti BlackByte terus berkembang, memanfaatkan kelemahan dan teknik baharu, organisasi mesti berada di hadapan untuk melindungi infrastruktur kritikal mereka. Perjuangan menentang perisian tebusan masih belum berakhir, dan sentiasa mendapat maklumat adalah langkah pertama dalam melindungi aset digital anda.