BlackByte Ransomware wykorzystuje lukę VMware ESXi, uruchamiając nową falę zagrożeń cybernetycznych
Grupa ransomware BlackByte powraca i tym razem wykorzystuje nowo załataną lukę w hiperwizorach VMware ESXi, podnosząc alarm w całym środowisku cyberbezpieczeństwa. Grupa, znana ze swojego modelu ransomware-as-a-service (RaaS), wykorzystała tę lukę (CVE-2024-37085) do naruszenia bezpieczeństwa systemów, co oznacza znaczącą ewolucję w ich strategii ataku.
Spis treści
Wykorzystanie VMware ESXi: Niebezpieczna zmiana
W ostatniej fali ataków zaobserwowano, że BlackByte wykorzystuje lukę w zabezpieczeniach umożliwiającą obejście uwierzytelniania w VMware ESXi, która umożliwia atakującym uzyskanie uprawnień administratora w hypervisorze. Ta luka, CVE-2024-37085, została wykorzystana jako broń przez różne grupy ransomware, ale wykorzystanie jej przez BlackByte sygnalizuje niebezpieczny zwrot w ich taktyce. Wykorzystując tę lukę, atakujący byli w stanie eskalować uprawnienia, uzyskać nieautoryzowany dostęp do dzienników systemowych i kontrolować maszyny wirtualne (VM).
To wykorzystywanie luk w zabezpieczeniach dostępnych publicznie w celu uzyskania początkowego dostępu nie jest nowością dla BlackByte. Jednak ich niedawna zmiana na korzystanie z dostępu VPN, prawdopodobnie uzyskanego poprzez ataki siłowe, podkreśla ich adaptacyjne podejście. Wykorzystując ważne dane uwierzytelniające do uzyskania dostępu do VPN ofiary, BlackByte zdołał zmniejszyć widoczność z systemów wykrywania i reagowania punktów końcowych (EDR) organizacji, czyniąc ich ataki jeszcze bardziej ukrytymi.
Rola podatnych sterowników w wyłączaniu zabezpieczeń
Kluczowym elementem strategii ataku BlackByte jest wykorzystanie podatnych sterowników do rozbrajania zabezpieczeń, technika znana jako „bring your own vulnerable driver” (BYOVD). W swoim najnowszym ataku BlackByte wdrożył wiele podatnych sterowników, w tym RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys i gdrv.sys, aby zakończyć procesy zabezpieczeń i ominąć kontrole. Ta metoda okazała się wysoce skuteczna w unikaniu wykrycia, umożliwiając ransomware szybkie rozprzestrzenianie się w sieciach.
Ewolucja technik ransomware
Postęp BlackByte od używania C# do Go, a teraz do C/C++, w ich szyfratorze ransomware odzwierciedla celowe wysiłki mające na celu zwiększenie odporności malware na wykrywanie i analizę. Najnowsza wersja, BlackByteNT, zawiera zaawansowane techniki antyanalizy i antydebugowania, co utrudnia specjalistom ds. cyberbezpieczeństwa przeciwdziałanie zagrożeniu.
Ta adaptacyjność jest częścią szerszego trendu wśród grup ransomware, jak podkreślają ostatnie badania. Ujawnienie Cisco Talos pojawia się obok ustaleń Group-IB, które szczegółowo opisują taktykę innych odmian ransomware, takich jak Brain Cipher i RansomHub. Grupy te, podobnie jak BlackByte, rozwinęły swoje metody, przyjmując nowe języki programowania i techniki, aby wyprzedzać środki bezpieczeństwa.
Ciągłe zagrożenie
Sektor usług profesjonalnych, naukowych i technicznych jest najbardziej narażony na tego typu ataki ransomware, a sektory produkcji i edukacji również są poważnie zagrożone. Pomimo pewnych wysiłków w walce z BlackByte — takich jak wydanie deszyfratora przez Trustwave w październiku 2021 r. — grupa nadal udoskonala swoje działania, wykorzystując niestandardowe narzędzia, takie jak ExByte, do eksfiltracji danych przed szyfrowaniem.
Szybkość, z jaką BlackByte i inne grupy ransomware wykorzystują nowo ujawnione luki, jest jaskrawym przypomnieniem o wszechobecnym zagrożeniu, jakie stanowią. W miarę jak nadal dostosowują i udoskonalają swoje techniki, organizacje muszą zachować czujność, zapewniając, że ich systemy są szybko łatane, a środki bezpieczeństwa są wystarczająco solidne, aby przeciwdziałać tym ewoluującym atakom.
Ostatnie przemyślenia
Ostatnia fala ataków BlackByte podkreśla znaczenie proaktywnych środków cyberbezpieczeństwa. Ponieważ grupy ransomware, takie jak BlackByte, nadal ewoluują, wykorzystując nowe luki i techniki, organizacje muszą wyprzedzać trendy, aby chronić swoją krytyczną infrastrukturę. Walka z ransomware jest daleka od zakończenia, a pozostawanie poinformowanym to pierwszy krok w ochronie zasobów cyfrowych.