BlackByte Ransomware využíva chybu VMware ESXi a spúšťa novú vlnu kybernetických hrozieb
Skupina ransomvéru BlackByte je späť a tentoraz využíva novo opravenú zraniteľnosť v hypervízoroch VMware ESXi, čo vyvoláva poplach v oblasti kybernetickej bezpečnosti. Skupina, ktorá je známa svojim modelom ransomware-as-a-service (RaaS), využila túto chybu (CVE-2024-37085) na kompromitáciu systémov, čo znamená významný vývoj v ich stratégii útokov.
Obsah
Využívanie VMware ESXi: Nebezpečný posun
V nedávnej vlne útokov bol BlackByte pozorovaný pri zneužívaní zraniteľnosti pri obchádzaní autentifikácie vo VMware ESXi, ktorá útočníkom umožňuje získať oprávnenia správcu hypervízora. Táto zraniteľnosť, CVE-2024-37085, bola vyzbrojená rôznymi skupinami ransomvéru, ale jej použitie BlackByte signalizuje nebezpečný základ v ich taktike. Využitím tejto chyby boli aktéri hrozieb schopní eskalovať privilégiá, získať neoprávnený prístup k systémovým protokolom a ovládať virtuálne stroje (VM).
Toto využitie verejne prístupných zraniteľností na počiatočný prístup nie je pre BlackByte novinkou. Ich nedávny posun k používaniu prístupu VPN, pravdepodobne získaný útokmi hrubou silou, však zdôrazňuje ich adaptívny prístup. Využitím platných prihlasovacích údajov na prístup k VPN obete sa BlackByte podarilo znížiť viditeľnosť zo systémov detekcie a odozvy koncových bodov (EDR) organizácie, vďaka čomu sú ich útoky ešte nenápadnejšie.
Úloha zraniteľných ovládačov pri deaktivácii bezpečnosti
Kľúčový komponent stratégie útokov BlackByte zahŕňa použitie zraniteľných ovládačov na deaktiváciu bezpečnostnej ochrany, čo je technika známa ako „prines si vlastný zraniteľný ovládač“ (BYOVD). Vo svojom najnovšom útoku BlackByte nasadil viacero zraniteľných ovládačov, vrátane RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys a gdrv.sys, aby ukončil bezpečnostné procesy a obišiel kontroly. Táto metóda sa ukázala ako vysoko účinná pri vyhýbaní sa detekcii, čo umožňuje rýchle šírenie ransomvéru po sieťach.
Evolúcia v technikách ransomvéru
Pokrok BlackByte od používania C# na Go a teraz na C/C++ v ich ransomvérovom šifrovači odráža zámerné úsilie o zvýšenie odolnosti malvéru voči detekcii a analýze. Najnovšia verzia, BlackByteNT, zahŕňa pokročilé techniky antianalýzy a ladenia, vďaka čomu je pre profesionálov v oblasti kybernetickej bezpečnosti náročnejšie čeliť tejto hrozbe.
Táto prispôsobivosť je súčasťou širšieho trendu medzi skupinami ransomvéru, ako zdôraznil nedávny výskum. Zverejnenie od Cisco Talos prichádza spolu so zisteniami od Group-IB, ktoré podrobne opisujú taktiku iných kmeňov ransomvéru, ako sú Brain Cipher a RansomHub. Tieto skupiny, podobne ako BlackByte, vyvinuli svoje metódy, osvojili si nové programovacie jazyky a techniky, aby si udržali náskok pred bezpečnostnými opatreniami.
Pretrvávajúca hrozba
Sektor profesionálnych, vedeckých a technických služieb patrí medzi najviac vystavené týmto typom ransomvérových útokov, pričom výrobné a vzdelávacie služby sú tiež značne ohrozené. Napriek určitému úsiliu bojovať proti BlackByte – ako napríklad vydanie dešifrovacieho nástroja Trustwave v októbri 2021 – skupina pokračovala v zdokonaľovaní svojich operácií a využívala vlastné nástroje ako ExByte na exfiltráciu údajov pred šifrovaním.
Rýchlosť, s akou BlackByte a ďalšie skupiny ransomvéru využívajú novo odhalené zraniteľnosti, je ostrou pripomienkou všadeprítomnej hrozby, ktorú predstavujú. Keďže organizácie pokračujú v prispôsobovaní a zdokonaľovaní svojich techník, musia zostať ostražití a musia zabezpečiť, aby ich systémy boli rýchlo opravené a že bezpečnostné opatrenia sú dostatočne robustné na to, aby čelili týmto vyvíjajúcim sa útokom.
Záverečné myšlienky
Najnovšia útočná vlna BlackByte podčiarkuje dôležitosť proaktívnych opatrení v oblasti kybernetickej bezpečnosti. Skupiny ransomvéru, ako je BlackByte, sa neustále vyvíjajú a využívajú nové zraniteľnosti a techniky, organizácie musia zostať vpredu, aby ochránili svoju kritickú infraštruktúru. Boj proti ransomvéru sa ani zďaleka nekončí a byť informovaný je prvým krokom k ochrane vašich digitálnych aktív.