BlackByte Ransomware exploatează defectul VMware ESXi lansând un nou val de amenințări cibernetice
Grupul de ransomware BlackByte s-a întors și, de data aceasta, exploatează o vulnerabilitate nou patch-ată în hipervizoarele VMware ESXi, stârnind alarma în peisajul securității cibernetice. Grupul, renumit pentru modelul său de ransomware-as-a-service (RaaS), a folosit acest defect (CVE-2024-37085) pentru a compromite sistemele, marcând o evoluție semnificativă în strategia lor de atac.
Cuprins
Exploatarea VMware ESXi: o schimbare periculoasă
Într-un val de atac recent, BlackByte a fost observat exploatând o vulnerabilitate de bypass de autentificare în VMware ESXi, care permite atacatorilor să obțină privilegii de administrator pe hypervisor. Această vulnerabilitate, CVE-2024-37085, a fost folosită de diferite grupuri de ransomware, dar utilizarea ei de către BlackByte semnalează un pivot periculos în tactica lor. Prin exploatarea acestui defect, actorii amenințărilor au putut să escaladeze privilegiile, să obțină acces neautorizat la jurnalele de sistem și să controleze mașinile virtuale (VM).
Această exploatare a vulnerabilităților publice pentru accesul inițial nu este nouă pentru BlackByte. Cu toate acestea, recenta lor trecere la utilizarea accesului VPN, obținut probabil prin atacuri de forță brută, evidențiază abordarea lor adaptativă. Folosind acreditările valide pentru a accesa VPN-ul unei victime, BlackByte a reușit să reducă vizibilitatea de la sistemele de detectare și răspuns (EDR) ale organizației, făcând atacurile lor și mai ascunse.
Rolul șoferilor vulnerabili în dezactivarea securității
O componentă cheie a strategiei de atac a BlackByte implică utilizarea de drivere vulnerabili pentru a dezarma protecțiile de securitate, o tehnică cunoscută sub numele de „aduceți propriul șofer vulnerabil” (BYOVD). În cel mai recent atac, BlackByte a implementat mai multe drivere vulnerabile, inclusiv RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys și gdrv.sys, pentru a încheia procesele de securitate și a ocoli controalele. Această metodă s-a dovedit a fi foarte eficientă în eludarea detectării, permițând ransomware-ului să se răspândească rapid în rețele.
Evoluția tehnicilor ransomware
Progresul BlackByte de la utilizarea C# to Go, și acum la C/C++, în criptatorul lor ransomware reflectă un efort deliberat de a îmbunătăți rezistența malware-ului împotriva detectării și analizei. Cea mai recentă versiune, BlackByteNT, încorporează tehnici avansate de anti-analiza și anti-depanare, ceea ce face mai dificil pentru profesioniștii în securitate cibernetică să contracareze amenințarea.
Această adaptabilitate face parte dintr-o tendință mai largă în rândul grupurilor de ransomware, așa cum a evidențiat cercetările recente. Dezvăluirea de la Cisco Talos vine alături de constatările Grupului-IB, care detaliază tacticile altor tulpini de ransomware precum Brain Cipher și RansomHub. Aceste grupuri, similare cu BlackByte, și-au evoluat metodele, adoptând noi limbaje și tehnici de programare pentru a rămâne în avans față de măsurile de securitate.
Amenințarea continuă
Sectoarele de servicii profesionale, științifice și tehnice sunt printre cele mai expuse acestor tipuri de atacuri ransomware, serviciile de producție și educaționale fiind, de asemenea, expuse unui risc semnificativ. În ciuda unor eforturi de combatere a BlackByte – cum ar fi lansarea unui decriptor de către Trustwave în octombrie 2021 – grupul a continuat să-și perfecționeze operațiunile, utilizând instrumente personalizate precum ExByte pentru exfiltrarea datelor înainte de criptare.
Viteza cu care BlackByte și alte grupuri de ransomware exploatează vulnerabilitățile nou dezvăluite este o reamintire clară a amenințării mereu prezente pe care o reprezintă. Pe măsură ce continuă să își adapteze și să-și perfecționeze tehnicile, organizațiile trebuie să rămână vigilente, asigurându-se că sistemele lor sunt corectate prompt și că măsurile de securitate sunt suficient de robuste pentru a contracara aceste atacuri în evoluție.
Gânduri finale
Cel mai recent val de atacuri BlackByte subliniază importanța măsurilor proactive de securitate cibernetică. Pe măsură ce grupurile de ransomware precum BlackByte continuă să evolueze, valorificând noi vulnerabilități și tehnici, organizațiile trebuie să rămână în fruntea curbei pentru a-și proteja infrastructura critică. Lupta împotriva ransomware-ului este departe de a fi încheiată, iar informarea este primul pas în protejarea activelor tale digitale.