BlackByte Ransomware utnytter VMware ESXi-feil lanserer en ny bølge av cybertrusler
BlackByte ransomware- gruppen er tilbake, og denne gangen utnytter de en nylig rettet sårbarhet i VMware ESXi-hypervisorer, og vekker alarm over cybersikkerhetslandskapet. Gruppen, beryktet for sin ransomware-as-a-service (RaaS)-modell, har utnyttet denne feilen (CVE-2024-37085) til å kompromittere systemer, og markerer en betydelig utvikling i angrepsstrategien deres.
Innholdsfortegnelse
Utnyttelse av VMware ESXi: A Dangerous Shift
I en nylig angrepsbølge ble BlackByte observert utnytte en autentiseringsomkjøringssårbarhet i VMware ESXi, som lar angripere få administratorrettigheter på hypervisoren. Denne sårbarheten, CVE-2024-37085, har blitt bevæpnet av forskjellige løsepengevaregrupper, men BlackBytes bruk av det signaliserer et farlig omdreiningspunkt i taktikken deres. Ved å utnytte denne feilen var trusselaktørene i stand til å eskalere privilegier, få uautorisert tilgang til systemlogger og kontrollere virtuelle maskiner (VM).
Denne utnyttelsen av offentlige sårbarheter for førstegangstilgang er ikke ny for BlackByte. Imidlertid fremhever deres nylige overgang til å bruke VPN-tilgang, sannsynligvis oppnådd gjennom brute-force-angrep, deres adaptive tilnærming. Ved å utnytte gyldig legitimasjon for å få tilgang til et offers VPN, har BlackByte klart å redusere synlighet fra organisasjonens endepunktdeteksjons- og responssystemer (EDR), noe som gjør angrepene deres enda mer snikende.
Rollen til sårbare sjåfører i å deaktivere sikkerhet
En nøkkelkomponent i BlackBytes angrepsstrategi involverer bruk av sårbare drivere for å deaktivere sikkerhetsbeskyttelse, en teknikk kjent som "bring your own vulnerable driver" (BYOVD). I deres siste angrep distribuerte BlackByte flere sårbare drivere, inkludert RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys og gdrv.sys, for å avslutte sikkerhetsprosesser og omgå kontroller. Denne metoden har vist seg å være svært effektiv for å unngå oppdagelse, og lar løsepengevaren spre seg raskt over nettverk.
Evolusjon i løsepengevareteknikker
BlackBytes utvikling fra å bruke C# til Go, og nå til C/C++, i deres løsepengevarekryptering reflekterer et bevisst forsøk på å forbedre skadevarens motstandskraft mot deteksjon og analyse. Den nyeste versjonen, BlackByteNT, inneholder avanserte antianalyse- og anti-feilsøkingsteknikker, noe som gjør det mer utfordrende for cybersikkerhetseksperter å motvirke trusselen.
Denne tilpasningsevnen er en del av en bredere trend blant løsepengevaregrupper, som fremhevet av nyere forskning. Avsløringen fra Cisco Talos kommer sammen med funn fra Group-IB, som beskrev taktikken til andre løsepengevarestammer som Brain Cipher og RansomHub. Disse gruppene, i likhet med BlackByte, har utviklet metodene sine ved å ta i bruk nye programmeringsspråk og teknikker for å ligge i forkant av sikkerhetstiltak.
Den pågående trusselen
De profesjonelle, vitenskapelige og tekniske tjenestesektorene er blant de mest utsatte for denne typen løsepengevare-angrep, med produksjon og utdanningstjenester også i betydelig risiko. Til tross for noen anstrengelser for å bekjempe BlackByte – for eksempel utgivelsen av en dekryptering av Trustwave i oktober 2021 – har gruppen fortsatt å avgrense driften ved å bruke tilpassede verktøy som ExByte for dataeksfiltrering før kryptering.
Hastigheten der BlackByte og andre løsepengevaregrupper utnytter nylig avslørte sårbarheter er en sterk påminnelse om den alltid tilstedeværende trusselen de utgjør. Mens de fortsetter å tilpasse og avgrense teknikkene sine, må organisasjoner være årvåkne, sikre at systemene deres blir lappet raskt og at sikkerhetstiltakene er robuste nok til å motvirke disse utviklende angrepene.
Siste tanker
BlackBytes siste angrepsbølge understreker viktigheten av proaktive cybersikkerhetstiltak. Ettersom løsepengevaregrupper som BlackByte fortsetter å utvikle seg og utnytter nye sårbarheter og teknikker, må organisasjoner ligge i forkant for å beskytte sin kritiske infrastruktur. Kampen mot løsepengevare er langt fra over, og å holde seg informert er det første trinnet i å beskytte dine digitale eiendeler.