BlackByte Ransomware izkorišča napako VMware ESXi in sproži nov val kibernetskih groženj
Skupina izsiljevalske programske opreme BlackByte se je vrnila in tokrat izkoriščajo na novo zakrpano ranljivost v hipervizorjih VMware ESXi, s čimer sprožajo alarm na področju kibernetske varnosti. Skupina, razvpita po svojem modelu izsiljevalske programske opreme kot storitve (RaaS), je to napako (CVE-2024-37085) izkoristila za ogrožanje sistemov, kar pomeni pomemben razvoj v njihovi strategiji napada.
Kazalo
Izkoriščanje VMware ESXi: nevaren premik
V nedavnem napadalnem valu so opazili, da BlackByte izkorišča ranljivost obvoda avtentikacije v VMware ESXi, ki napadalcem omogoča pridobitev skrbniških pravic na hipervizorju. To ranljivost, CVE-2024-37085, so uporabile kot orožje različne skupine izsiljevalske programske opreme, vendar BlackByte uporablja to ranljivost, ki nakazuje nevaren preobrat v njihovi taktiki. Z izkoriščanjem te napake so akterji groženj lahko povečali privilegije, pridobili nepooblaščen dostop do sistemskih dnevnikov in nadzorovali virtualne stroje (VM).
To izkoriščanje javnih ranljivosti za začetni dostop ni novo za BlackByte. Vendar pa njihov nedavni prehod na uporabo dostopa VPN, verjetno pridobljenega z napadi s surovo silo, poudarja njihov prilagodljiv pristop. Z uporabo veljavnih poverilnic za dostop do žrtvinega VPN-ja je BlackByte uspel zmanjšati vidnost sistemov organizacije za zaznavanje in odziv končne točke (EDR), zaradi česar so njihovi napadi še bolj prikriti.
Vloga ranljivih gonilnikov pri onemogočanju varnosti
Ključna komponenta strategije napada BlackByte vključuje uporabo ranljivih gonilnikov za razorožitev varnostnih zaščit, tehniko, znano kot "prinesite svojega ranljivega gonilnika" (BYOVD). V svojem zadnjem napadu je BlackByte uvedel več ranljivih gonilnikov, vključno z RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys in gdrv.sys, da bi prekinil varnostne procese in obšel nadzor. Ta metoda se je izkazala za zelo učinkovito pri izogibanju odkrivanju, kar omogoča hitro širjenje izsiljevalske programske opreme po omrežjih.
Razvoj tehnik izsiljevalske programske opreme
BlackByteov napredek od uporabe C# do Go in zdaj do C/C++ v njihovem šifrirniku izsiljevalske programske opreme odraža namerno prizadevanje za izboljšanje odpornosti zlonamerne programske opreme proti odkrivanju in analizi. Najnovejša različica, BlackByteNT, vključuje napredne tehnike za preprečevanje analize in odpravljanja napak, zaradi česar je za strokovnjake na področju kibernetske varnosti še večji izziv za boj proti grožnji.
Ta prilagodljivost je del širšega trenda med skupinami izsiljevalskih programov, kot je poudarila nedavna raziskava. Razkritje podjetja Cisco Talos prihaja skupaj z ugotovitvami skupine Group-IB, ki podrobno opisuje taktike drugih vrst izsiljevalske programske opreme, kot sta Brain Cipher in RansomHub. Te skupine, podobno kot BlackByte, so razvile svoje metode in sprejele nove programske jezike in tehnike, da bi bile pred varnostnimi ukrepi.
Nenehna grožnja
Sektorji strokovnih, znanstvenih in tehničnih storitev so med najbolj izpostavljenimi tovrstnim napadom izsiljevalske programske opreme, pri čemer so proizvodne in izobraževalne storitve prav tako ogrožene. Kljub nekaterim prizadevanjem za boj proti BlackByte – kot je izdaja dekriptorja, ki ga je izdal Trustwave oktobra 2021 – je skupina še naprej izpopolnjevala svoje delovanje in uporablja orodja po meri, kot je ExByte, za ekstrakcijo podatkov pred šifriranjem.
Hitrost, s katero BlackByte in druge skupine izsiljevalske programske opreme izkoriščajo na novo razkrite ranljivosti, je jasen opomin na vedno prisotno grožnjo, ki jo predstavljajo. Medtem ko še naprej prilagajajo in izpopolnjujejo svoje tehnike, morajo organizacije ostati pazljive in zagotoviti, da so njihovi sistemi nemudoma popravljeni in da so varnostni ukrepi dovolj robustni za boj proti tem razvijajočim se napadom.
Končne misli
Najnovejši val napadov BlackByte poudarja pomen proaktivnih ukrepov kibernetske varnosti. Ker se skupine izsiljevalske programske opreme, kot je BlackByte, še naprej razvijajo in izkoriščajo nove ranljivosti in tehnike, morajo organizacije ostati v prednosti, da zaščitijo svojo kritično infrastrukturo. Boj proti izsiljevalski programski opremi še zdaleč ni končan in biti obveščen je prvi korak pri varovanju vaših digitalnih sredstev.