Multi-License Discount Quote
Segurança do Computador O BlackByte Ransomware Explora Falha do VMware ESXi,...

O BlackByte Ransomware Explora Falha do VMware ESXi, Lançando uma Nova Onda de Ameaças Cibernéticas

Por Mura em Segurança do Computador
Traduzir Para:
Português

O grupo do BlackByte Ransomware está de volta e, desta vez, eles estão explorando uma vulnerabilidade recém-corrigida em hipervisores VMware ESXi, gerando alarme em todo o cenário de segurança cibernética. O grupo, famoso por seu modelo de ransomware como serviço (RaaS), aproveitou essa falha (CVE-2024-37085) para comprometer sistemas, marcando uma evolução significativa em sua estratégia de ataque.

Explorando o VMware ESXi: Uma Mudança Perigosa

Em uma onda de ataque recente, o BlackByte foi observada explorando uma vulnerabilidade de bypass de autenticação no VMware ESXi, que permite que invasores obtenham privilégios de administrador no hipervisor. Essa vulnerabilidade, CVE-2024-37085, foi transformada em arma por vários grupos de ransomware, mas o uso dela pelo BlackByte sinaliza uma mudança perigosa em suas táticas. Ao explorar essa falha, os agentes da ameaça conseguiram escalar privilégios, obter acesso não autorizado a logs do sistema e controlar máquinas virtuais (VMs).

Essa exploração de vulnerabilidades públicas para acesso inicial não é novidade para o BlackByte. No entanto, sua mudança recente para o uso de acesso VPN, provavelmente obtido por meio de ataques de força bruta, destaca sua abordagem adaptável. Ao alavancar credenciais válidas para acessar a VPN de uma vítima, o BlackByte conseguiu reduzir a visibilidade dos sistemas de detecção e resposta de endpoint (EDR) da organização, tornando seus ataques ainda mais furtivos.

O Papel dos Drivers Vulneráveis na Desabilitação da Segurança

Um componente-chave da estratégia de ataque do BlackByte envolve o uso de drivers vulneráveis para desarmar proteções de segurança, uma técnica conhecida como "traga seu próprio driver vulnerável" (BYOVD). Em seu último ataque, a BlackByte implantou vários drivers vulneráveis, incluindo RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys e gdrv.sys, para encerrar processos de segurança e ignorar controles. Este método provou ser altamente eficaz em evitar a detecção, permitindo que o ransomware se espalhe rapidamente pelas redes.

A Evolução das Técnicas de Ransomware

A progressão da BlackByte de usar C# para Go, e agora para C/C++, em seu criptografador de ransomware reflete um esforço deliberado para aumentar a resiliência do malware contra detecção e análise. A versão mais recente, BlackByteNT, incorpora técnicas avançadas de antianálise e antidepuração, tornando mais desafiador para profissionais de segurança cibernética combater a ameaça.

Essa adaptabilidade é parte de uma tendência mais ampla entre grupos de ransomware, conforme destacado por pesquisas recentes. A divulgação da Cisco Talos vem junto com descobertas do Group-IB, que detalharam as táticas de outras cepas de ransomware como Brain Cipher e RansomHub. Esses grupos, semelhantes ao BlackByte, evoluíram seus métodos, adotando novas linguagens de programação e técnicas para se manterem à frente das medidas de segurança.

A Ameaça Contínua

Os setores de serviços profissionais, científicos e técnicos estão entre os mais expostos a esses tipos de ataques de ransomware, com serviços de fabricação e educacionais também em risco significativo. Apesar de alguns esforços para combater o BlackByte — como o lançamento de um descriptografador pela Trustwave em outubro de 2021 — o grupo continuou a refinar suas operações, empregando ferramentas personalizadas como o ExByte para exfiltração de dados antes da criptografia.

A velocidade com que o BlackByte e outros grupos de ransomware exploram vulnerabilidades recentemente divulgadas é um lembrete gritante da ameaça sempre presente que eles representam. À medida que continuam a se adaptar e refinar suas técnicas, as organizações devem permanecer vigilantes, garantindo que seus sistemas sejam corrigidos prontamente e que as medidas de segurança sejam robustas o suficiente para conter esses ataques em evolução.

Considerações Finais

A última onda de ataques do BlackByte ressalta a importância de medidas proativas de segurança cibernética. À medida que grupos de ransomware como a BlackByte continuam a evoluir, alavancando novas vulnerabilidades e técnicas, as organizações devem ficar à frente da curva para proteger sua infraestrutura crítica. A batalha contra o ransomware está longe de terminar, e permanecer informado é o primeiro passo para proteger seus ativos digitais.

Carregando...