BlackByte Ransomware ले VMware ESXi फ्लाको शोषण गर्दछ साइबर खतराहरूको नयाँ लहर सुरु गर्दै
BlackByte ransomware समूह फिर्ता आएको छ, र यस पटक, तिनीहरू VMware ESXi हाइपरभाइजरहरूमा नयाँ प्याच गरिएको जोखिमको शोषण गर्दै छन्, साइबर सुरक्षा परिदृश्यमा अलार्म बढाउँदै। समूह, यसको ransomware-as-a-service (RaaS) मोडेलका लागि कुख्यात, यो त्रुटि (CVE-2024-37085) लाई प्रणालीहरूसँग सम्झौता गर्न प्रयोग गरेको छ, तिनीहरूको आक्रमण रणनीतिमा महत्त्वपूर्ण विकास चिन्ह लगाउँदै।
सामग्रीको तालिका
VMware ESXi को शोषण: एक खतरनाक परिवर्तन
भर्खरको आक्रमणको लहरमा, ब्ल्याकबाइटले VMware ESXi मा एक प्रमाणीकरण बाइपास जोखिमको शोषण गरेको देखियो, जसले आक्रमणकर्ताहरूलाई हाइपरभाइजरमा प्रशासक विशेषाधिकारहरू प्राप्त गर्न अनुमति दिन्छ। यो जोखिम, CVE-2024-37085, विभिन्न ransomware समूहहरू द्वारा हतियार बनाइएको छ, तर BlackByte को प्रयोगले तिनीहरूको रणनीतिमा खतरनाक पिभोट संकेत गर्दछ। यस त्रुटिको शोषण गरेर, खतरा अभिनेताहरूले विशेषाधिकारहरू बढाउन, प्रणाली लगहरूमा अनाधिकृत पहुँच प्राप्त गर्न, र भर्चुअल मेसिनहरू (VMs) नियन्त्रण गर्न सक्षम थिए।
ब्ल्याकबाइटको लागि प्रारम्भिक पहुँचको लागि सार्वजनिक-फेसिङ भेद्यताहरूको यो शोषण नयाँ होइन। यद्यपि, VPN पहुँच प्रयोग गर्नको लागि तिनीहरूको भर्खरको परिवर्तन, सम्भवतः ब्रूट-फोर्स आक्रमणहरू मार्फत प्राप्त गरिएको, तिनीहरूको अनुकूली दृष्टिकोणलाई हाइलाइट गर्दछ। पीडितको VPN पहुँच गर्न वैध प्रमाणहरू प्रयोग गरेर, BlackByte ले संगठनको अन्तिम बिन्दु पत्ता लगाउने र प्रतिक्रिया (EDR) प्रणालीहरूबाट दृश्यता कम गर्न व्यवस्थित गरेको छ, तिनीहरूका आक्रमणहरूलाई अझ लुकेको छ।
सुरक्षा असक्षम गर्न कमजोर चालकहरूको भूमिका
BlackByte को आक्रमण रणनीति को एक प्रमुख घटक सुरक्षा सुरक्षा निशस्त्र गर्न को लागी कमजोर ड्राइभर को उपयोग शामिल छ, "तपाईको आफ्नै कमजोर चालक ल्याउनुहोस्" (BYOVD) भनेर चिनिने एक प्रविधि। तिनीहरूको पछिल्लो आक्रमणमा, BlackByte ले सुरक्षा प्रक्रियाहरू र बाइपास नियन्त्रणहरू समाप्त गर्न RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys, र gdrv.sys लगायत धेरै कमजोर ड्राइभरहरू तैनात गर्यो। यो विधि पत्ता लगाउनबाट बच्न अत्यधिक प्रभावकारी साबित भएको छ, ransomware लाई नेटवर्कहरूमा छिटो फैलाउन अनुमति दिँदै।
Ransomware प्रविधिहरूमा विकास
ब्ल्याकबाइटको C# to Go प्रयोग गरेर, र अब C/C++ मा, तिनीहरूको ransomware ईन्क्रिप्टरमा भएको प्रगतिले पत्ता लगाउन र विश्लेषण विरुद्ध मालवेयरको लचिलोपन बढाउने जानाजानी प्रयासलाई प्रतिबिम्बित गर्दछ। नवीनतम संस्करण, BlackByteNT ले उन्नत एन्टी-एनालिसिस र एन्टी-डिबगिङ प्रविधिहरू समावेश गर्दछ, यसले साइबर सुरक्षा पेशेवरहरूलाई खतराको सामना गर्न थप चुनौतीपूर्ण बनाउँछ।
यो अनुकूलनता ransomware समूहहरू बीचको फराकिलो प्रवृतिको अंश हो, जुन हालको अनुसन्धानले हाइलाइट गरेको छ। Cisco Talos बाट खुलासा Group-IB बाट खोजहरूसँगै आउँछ, जसले ब्रेन साइफर र RansomHub जस्ता अन्य ransomware स्ट्रेनहरूको रणनीतिहरू विस्तृत गर्दछ। ब्ल्याकबाइट जस्तै यी समूहहरूले सुरक्षा उपायहरू भन्दा अगाडि रहन नयाँ प्रोग्रामिङ भाषाहरू र प्रविधिहरू अपनाएर तिनीहरूको विधिहरू विकास गरेका छन्।
जारी खतरा
व्यावसायिक, वैज्ञानिक र प्राविधिक सेवा क्षेत्रहरू यी प्रकारका ransomware आक्रमणहरूको सबैभन्दा बढी जोखिममा छन्, उत्पादन र शैक्षिक सेवाहरू पनि महत्त्वपूर्ण जोखिममा छन्। ब्ल्याकबाइटसँग लड्नका लागि केही प्रयासहरूको बावजुद - जस्तै ट्रस्टवेभ द्वारा अक्टोबर 2021 मा एक डिक्रिप्टरको रिलीज - समूहले एन्क्रिप्शन अघि डेटा एक्सफिल्टेशनको लागि ExByte जस्ता अनुकूलन उपकरणहरू प्रयोग गर्दै, आफ्नो कार्यहरू परिष्कृत गर्न जारी राखेको छ।
ब्ल्याकबाइट र अन्य ransomware समूहहरूले भर्खरै खुलासा गरिएका कमजोरीहरूको शोषण गर्ने गति तिनीहरूले निम्त्याउने सदा-वर्तमान खतराको स्पष्ट अनुस्मारक हो। तिनीहरूले आफ्नो प्रविधिहरू अनुकूलन र परिष्कृत गर्न जारी राख्दा, संगठनहरू सतर्क रहनु पर्छ, उनीहरूको प्रणालीहरू तुरुन्तै प्याच गरिएको छ र सुरक्षा उपायहरू यी विकसित आक्रमणहरूको सामना गर्न पर्याप्त बलियो छन्।
अन्तिम विचार
ब्ल्याकबाइटको पछिल्लो आक्रमणको लहरले सक्रिय साइबर सुरक्षा उपायहरूको महत्त्वलाई जोड दिन्छ। ब्ल्याकबाइट जस्ता ransomware समूहहरू विकसित हुँदै जाँदा, नयाँ कमजोरीहरू र प्रविधिहरू प्रयोग गर्दै, संगठनहरूले आफ्नो महत्वपूर्ण पूर्वाधारको सुरक्षा गर्न कर्भको अगाडि रहनु पर्छ। ransomware विरुद्धको लडाई धेरै टाढा छ, र सूचित रहनु भनेको तपाइँको डिजिटल सम्पत्तिहरू सुरक्षित गर्ने पहिलो चरण हो।