Вредоносное ПО BlackByte использует уязвимость VMware ESXi, запуская новую волну киберугроз
Группа вымогателей BlackByte вернулась, и на этот раз они эксплуатируют недавно исправленную уязвимость в гипервизорах VMware ESXi, вызвав тревогу в сфере кибербезопасности. Группа, известная своей моделью вымогателей как услуги (RaaS), использовала эту уязвимость (CVE-2024-37085) для компрометации систем, что стало значительным изменением в их стратегии атак.
Оглавление
Эксплуатация VMware ESXi: опасный сдвиг
В недавней волне атак BlackByte был замечен за использованием уязвимости обхода аутентификации в VMware ESXi, которая позволяет злоумышленникам получить привилегии администратора на гипервизоре. Эта уязвимость, CVE-2024-37085, была использована различными группами вымогателей, но ее использование BlackByte сигнализирует об опасном повороте в их тактике. Эксплуатируя эту уязвимость, злоумышленники смогли повысить привилегии, получить несанкционированный доступ к системным журналам и управлять виртуальными машинами (ВМ).
Такое использование уязвимостей, обращенных к общественности, для первоначального доступа не является чем-то новым для BlackByte. Однако их недавний переход на использование доступа VPN, вероятно, полученного с помощью атак методом подбора, подчеркивает их адаптивный подход. Используя действительные учетные данные для доступа к VPN жертвы, BlackByte удалось снизить видимость систем обнаружения и реагирования на конечные точки (EDR) организации, что сделало их атаки еще более скрытными.
Роль уязвимых водителей в подрыве безопасности
Ключевым компонентом стратегии атаки BlackByte является использование уязвимых драйверов для отключения защиты безопасности, метод, известный как «принеси свой собственный уязвимый драйвер» (BYOVD). В своей последней атаке BlackByte развернула несколько уязвимых драйверов, включая RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys и gdrv.sys, чтобы завершить процессы безопасности и обойти элементы управления. Этот метод оказался очень эффективным для уклонения от обнаружения, что позволило программе-вымогателю быстро распространиться по сетям.
Эволюция методов вирусов-вымогателей
Переход BlackByte с C# на Go, а теперь и на C/C++ в своем шифровальщике-вымогателе отражает намеренные усилия по повышению устойчивости вредоносного ПО к обнаружению и анализу. Последняя версия, BlackByteNT, включает в себя передовые методы антианализа и антиотладки, что усложняет для специалистов по кибербезопасности задачу по борьбе с угрозой.
Эта адаптивность является частью более широкой тенденции среди группировок программ-вымогателей, как показали недавние исследования. Раскрытие информации от Cisco Talos идет рука об руку с выводами Group-IB, в которых подробно описана тактика других штаммов программ-вымогателей, таких как Brain Cipher и RansomHub. Эти группы, подобно BlackByte, усовершенствовали свои методы, приняв новые языки программирования и методы, чтобы опережать меры безопасности.
Продолжающаяся угроза
Секторы профессиональных, научных и технических услуг наиболее подвержены атакам такого рода программ-вымогателей, а производственные и образовательные услуги также подвергаются значительному риску. Несмотря на некоторые усилия по борьбе с BlackByte, такие как выпуск дешифратора Trustwave в октябре 2021 года, группа продолжает совершенствовать свои операции, используя специальные инструменты, такие как ExByte, для извлечения данных перед шифрованием.
Скорость, с которой BlackByte и другие группы вымогателей используют недавно обнаруженные уязвимости, является суровым напоминанием о постоянной угрозе, которую они представляют. Поскольку они продолжают адаптировать и совершенствовать свои методы, организации должны сохранять бдительность, обеспечивая оперативное исправление своих систем и достаточно надежные меры безопасности для противодействия этим развивающимся атакам.
Заключительные мысли
Последняя волна атак BlackByte подчеркивает важность проактивных мер кибербезопасности. Поскольку такие группы вымогателей, как BlackByte, продолжают развиваться, используя новые уязвимости и методы, организации должны оставаться на шаг впереди, чтобы защитить свою критическую инфраструктуру. Битва с вымогателями далека от завершения, и первым шагом к защите ваших цифровых активов является информированность.