BlackByte Ransomware shfrytëzon defektin e VMware ESXi duke nisur një valë të re kërcënimesh kibernetike
Grupi i ransomware-ve BlackByte është rikthyer dhe këtë herë, ata janë duke shfrytëzuar një cenueshmëri të re të korrigjuar në hipervizorët VMware ESXi, duke ngritur alarmin në të gjithë peizazhin e sigurisë kibernetike. Grupi, i njohur për modelin e tij ransomware-as-a-service (RaaS), ka shfrytëzuar këtë të metë (CVE-2024-37085) për të kompromentuar sistemet, duke shënuar një evolucion të rëndësishëm në strategjinë e tyre të sulmit.
Tabela e Përmbajtjes
Shfrytëzimi i VMware ESXi: Një ndryshim i rrezikshëm
Në një valë sulmi të fundit, BlackByte u vu re duke shfrytëzuar një cenueshmëri të anashkalimit të vërtetimit në VMware ESXi, e cila lejon sulmuesit të fitojnë privilegje administratori në hipervisor. Kjo dobësi, CVE-2024-37085, është armatosur nga grupe të ndryshme ransomware, por përdorimi i saj nga BlackByte sinjalizon një strumbullar të rrezikshëm në taktikat e tyre. Duke shfrytëzuar këtë të metë, aktorët e kërcënimit ishin në gjendje të përshkallëzojnë privilegjet, të fitojnë akses të paautorizuar në regjistrat e sistemit dhe të kontrollojnë makinat virtuale (VM).
Ky shfrytëzim i dobësive publike për aksesin fillestar nuk është i ri për BlackByte. Sidoqoftë, zhvendosja e tyre e fundit në përdorimin e aksesit VPN, me gjasë e marrë përmes sulmeve me forcë brutale, thekson qasjen e tyre adaptive. Duke shfrytëzuar kredencialet e vlefshme për të hyrë në VPN të viktimës, BlackByte ka arritur të zvogëlojë dukshmërinë nga sistemet e zbulimit dhe reagimit të pikës fundore të organizatës (EDR), duke i bërë sulmet e tyre edhe më të fshehta.
Roli i shoferëve të cenueshëm në çaktivizimin e sigurisë
Një komponent kyç i strategjisë së sulmit të BlackByte përfshin përdorimin e drejtuesve të cenueshëm për të çarmatosur mbrojtjet e sigurisë, një teknikë e njohur si "sillni drejtuesin tuaj të cenueshëm" (BYOVD). Në sulmin e tyre të fundit, BlackByte vendosi drejtues të shumtë të cenueshëm, duke përfshirë RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys dhe gdrv.sys, për të përfunduar proceset e sigurisë dhe për të anashkaluar kontrollet. Kjo metodë është provuar të jetë shumë efektive në shmangien e zbulimit, duke lejuar që ransomware të përhapet me shpejtësi nëpër rrjete.
Evolucioni në teknikat e Ransomware
Përparimi i BlackByte nga përdorimi i C# në Go, dhe tani në C/C++, në enkriptuesin e tyre ransomware pasqyron një përpjekje të qëllimshme për të rritur qëndrueshmërinë e malware ndaj zbulimit dhe analizës. Versioni i fundit, BlackByteNT, përfshin teknika të avancuara anti-analizë dhe kundër korrigjimit, duke e bërë më sfiduese për profesionistët e sigurisë kibernetike përballjen e kërcënimit.
Kjo përshtatshmëri është pjesë e një tendence më të gjerë midis grupeve të ransomware, siç është theksuar nga kërkimet e fundit. Zbulimi nga Cisco Talos vjen së bashku me gjetjet nga Group-IB, të cilat detajonin taktikat e llojeve të tjera të ransomware si Brain Cipher dhe RansomHub. Këto grupe, të ngjashme me BlackByte, kanë evoluar metodat e tyre, duke adoptuar gjuhë dhe teknika të reja programimi për të qëndruar përpara masave të sigurisë.
Kërcënimi i vazhdueshëm
Sektorët e shërbimeve profesionale, shkencore dhe teknike janë ndër më të ekspozuarit ndaj këtyre llojeve të sulmeve të ransomware, me prodhim dhe shërbime arsimore gjithashtu në rrezik të konsiderueshëm. Pavarësisht disa përpjekjeve për të luftuar BlackByte-siç është lëshimi i një dekriptuesi nga Trustwave në tetor 2021-grupi ka vazhduar të përsosë operacionet e tij, duke përdorur mjete të personalizuara si ExByte për ekfiltrimin e të dhënave përpara kriptimit.
Shpejtësia me të cilën BlackByte dhe grupet e tjera ransomware shfrytëzojnë dobësitë e zbuluara rishtazi është një kujtesë e ashpër e kërcënimit gjithnjë të pranishëm që ata paraqesin. Ndërsa vazhdojnë të përshtaten dhe përsosin teknikat e tyre, organizatat duhet të qëndrojnë vigjilente, duke siguruar që sistemet e tyre të rregullohen menjëherë dhe që masat e sigurisë të jenë mjaft të fuqishme për t'iu kundërvënë këtyre sulmeve në zhvillim.
Mendimet Përfundimtare
Vala e fundit e sulmit të BlackByte nënvizon rëndësinë e masave proaktive të sigurisë kibernetike. Ndërsa grupet e ransomware si BlackByte vazhdojnë të evoluojnë, duke shfrytëzuar dobësitë dhe teknikat e reja, organizatat duhet të qëndrojnë përpara kurbës për të mbrojtur infrastrukturën e tyre kritike. Beteja kundër ransomware nuk ka përfunduar dhe të qëndruarit të informuar është hapi i parë në mbrojtjen e aseteve tuaja dixhitale.