BlackByte Ransomware maakt misbruik van VMware ESXi-lek en lanceert een nieuwe golf van cyberdreigingen
De BlackByte ransomware- groep is terug en deze keer maken ze misbruik van een onlangs gepatchte kwetsbaarheid in VMware ESXi-hypervisors, wat alarm slaat in het cybersecuritylandschap. De groep, berucht om zijn ransomware-as-a-service (RaaS)-model, heeft deze fout (CVE-2024-37085) gebruikt om systemen te compromitteren, wat een significante evolutie in hun aanvalsstrategie markeert.
Inhoudsopgave
Exploitatie van VMware ESXi: een gevaarlijke verschuiving
In een recente aanvalsgolf werd waargenomen dat BlackByte misbruik maakte van een authenticatie-omzeilingskwetsbaarheid in VMware ESXi, waarmee aanvallers beheerdersrechten op de hypervisor konden verkrijgen. Deze kwetsbaarheid, CVE-2024-37085, is door verschillende ransomwaregroepen als wapen gebruikt, maar het gebruik ervan door BlackByte duidt op een gevaarlijke wending in hun tactiek. Door misbruik te maken van deze fout konden de dreigingsactoren privileges verhogen, ongeautoriseerde toegang tot systeemlogboeken verkrijgen en virtuele machines (VM's) besturen.
Deze exploitatie van openbare kwetsbaarheden voor initiële toegang is niet nieuw voor BlackByte. Hun recente verschuiving naar het gebruik van VPN-toegang, waarschijnlijk verkregen via brute-force-aanvallen, benadrukt echter hun adaptieve aanpak. Door geldige inloggegevens te gebruiken om toegang te krijgen tot de VPN van een slachtoffer, is BlackByte erin geslaagd de zichtbaarheid van de endpoint detection and response (EDR)-systemen van de organisatie te verminderen, waardoor hun aanvallen nog heimelijker zijn geworden.
De rol van kwetsbare drivers bij het uitschakelen van de beveiliging
Een belangrijk onderdeel van BlackByte's aanvalsstrategie omvat het gebruik van kwetsbare drivers om beveiligingsbeschermingen te ontwapenen, een techniek die bekend staat als "bring your own vulnerable driver" (BYOVD). In hun laatste aanval heeft BlackByte meerdere kwetsbare drivers ingezet, waaronder RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys en gdrv.sys, om beveiligingsprocessen te beëindigen en controles te omzeilen. Deze methode is zeer effectief gebleken bij het ontwijken van detectie, waardoor de ransomware zich snel over netwerken kan verspreiden.
Evolutie in ransomware-technieken
De progressie van BlackByte van C# naar Go, en nu naar C/C++, in hun ransomware-encryptor weerspiegelt een bewuste poging om de veerkracht van de malware tegen detectie en analyse te verbeteren. De nieuwste versie, BlackByteNT, bevat geavanceerde anti-analyse- en anti-debuggingtechnieken, waardoor het voor cybersecurityprofessionals een grotere uitdaging is om de dreiging tegen te gaan.
Deze aanpassingsvermogen is onderdeel van een bredere trend onder ransomware-groepen, zoals benadrukt door recent onderzoek. De onthulling van Cisco Talos komt samen met bevindingen van Group-IB, die de tactieken van andere ransomware-stammen zoals Brain Cipher en RansomHub gedetailleerd beschreef. Deze groepen, vergelijkbaar met BlackByte, hebben hun methoden ontwikkeld en nieuwe programmeertalen en technieken aangenomen om voorop te blijven lopen op het gebied van veiligheidsmaatregelen.
De voortdurende dreiging
De professionele, wetenschappelijke en technische dienstensectoren behoren tot de sectoren die het meest worden blootgesteld aan dit soort ransomware-aanvallen, waarbij ook productie- en onderwijsdiensten een aanzienlijk risico lopen. Ondanks enkele pogingen om BlackByte te bestrijden, zoals de release van een decryptor door Trustwave in oktober 2021, is de groep haar activiteiten blijven verfijnen en maakt ze gebruik van aangepaste tools zoals ExByte voor data-exfiltratie vóór encryptie.
De snelheid waarmee BlackByte en andere ransomware-groepen nieuw onthulde kwetsbaarheden uitbuiten, is een harde herinnering aan de alomtegenwoordige dreiging die ze vormen. Terwijl ze hun technieken blijven aanpassen en verfijnen, moeten organisaties waakzaam blijven en ervoor zorgen dat hun systemen snel worden gepatcht en dat de beveiligingsmaatregelen robuust genoeg zijn om deze evoluerende aanvallen tegen te gaan.
Laatste gedachten
De laatste aanvalsgolf van BlackByte onderstreept het belang van proactieve cybersecuritymaatregelen. Terwijl ransomwaregroepen zoals BlackByte zich blijven ontwikkelen en gebruikmaken van nieuwe kwetsbaarheden en technieken, moeten organisaties voorop blijven lopen om hun kritieke infrastructuur te beschermen. De strijd tegen ransomware is nog lang niet voorbij en op de hoogte blijven is de eerste stap in het beschermen van uw digitale activa.