БлацкБите Рансомваре искориштава ВМваре ЕСКСи грешку и покреће нови талас сајбер претњи
Група БлацкБите рансомваре -а се вратила и овог пута искориштавају новозакрпљену рањивост у ВМваре ЕСКСи хипервизорима, подижући узбуну широм сајбер-безбедносног пејзажа. Група, позната по свом моделу рансомваре-ас-а-сервице (РааС), искористила је ову ману (ЦВЕ-2024-37085) да компромитује системе, означавајући значајну еволуцију у њиховој стратегији напада.
Преглед садржаја
Искоришћавање ВМваре ЕСКСи: опасан помак
У недавном таласу напада, примећено је да БлацкБите искоришћава рањивост заобилажења аутентификације у ВМваре ЕСКСи, што омогућава нападачима да стекну администраторске привилегије на хипервизору. Ову рањивост, ЦВЕ-2024-37085, користиле су различите групе рансомваре-а, али БлацкБите-ова употреба ње сигнализира опасан заокрет у њиховој тактици. Искоришћавањем ове мане, актери претњи су били у могућности да ескалирају привилегије, добију неовлашћени приступ системским евиденцијама и контролишу виртуелне машине (ВМ).
Ова експлоатација рањивости отворених за јавност за почетни приступ није новост за БлацкБите. Међутим, њихов недавни прелазак на коришћење ВПН приступа, вероватно добијен нападима грубе силе, наглашава њихов прилагодљиви приступ. Користећи важеће акредитиве за приступ ВПН-у жртве, БлацкБите је успео да смањи видљивост система за откривање крајњих тачака и одговор (ЕДР) организације, чинећи њихове нападе још прикривенијима.
Улога рањивих драјвера у онемогућавању безбедности
Кључна компонента БлацкБитеове стратегије напада укључује употребу рањивих драјвера за деактивирање безбедносне заштите, технику познату као „донесите свој рањиви драјвер“ (БИОВД). У свом последњем нападу, БлацкБите је применио више рањивих драјвера, укључујући РтЦоре64.сис, ДБУтил_2_3.сис, замгуард64.сис и гдрв.сис, да би прекинуо безбедносне процесе и заобишао контроле. Овај метод се показао као веома ефикасан у избегавању откривања, омогућавајући рансомверу да се брзо шири по мрежама.
Еволуција у техникама Рансомваре-а
Прогресија БлацкБите-а од употребе Ц# до Го, а сада до Ц/Ц++, у њиховом рансомваре енкриптору одражава намерни напор да се побољша отпорност малвера на откривање и анализу. Најновија верзија, БлацкБитеНТ, укључује напредне технике анти-анализе и отклањања грешака, што професионалцима за сајбер безбедност чини изазовнијим да се супротставе претњи.
Ова прилагодљивост је део ширег тренда међу групама рансомвера, као што је наглашено недавним истраживањем. Откривање од Цисцо Талос-а долази заједно са налазима Групе-ИБ, у којима је детаљно описана тактика других сојева рансомвера као што су Браин Ципхер и РансомХуб. Ове групе, сличне БлацкБите-у, развиле су своје методе, усвајајући нове програмске језике и технике како би биле испред безбедносних мера.
Тхе Цуррент Тхреат
Сектори професионалних, научних и техничких услуга су међу најизложенијим овим врстама напада рансомваре-а, при чему су производне и образовне услуге такође изложене значајном ризику. Упркос неким напорима у борби против БлацкБите-а—као што је објављивање дешифратора од стране Трустваве-а у октобру 2021.— група је наставила да усавршава своје операције, користећи прилагођене алате као што је ЕкБите за ексфилтрацију података пре шифровања.
Брзина којом БлацкБите и друге групе рансомваре-а искоришћавају новооткривене рањивости оштар је подсетник на увек присутну претњу коју они представљају. Како настављају да се прилагођавају и усавршавају своје технике, организације морају остати будне, осигуравајући да њихови системи буду закрпљени одмах и да су сигурносне мјере довољно робусне да се супротставе овим нападима који се развијају.
Финал Тхоугхтс
Најновији талас напада БлацкБите-а наглашава важност проактивних мера сајбер безбедности. Како групе рансомваре-а као што је БлацкБите настављају да се развијају, користећи нове рањивости и технике, организације морају да буду испред криве како би заштитиле своју критичну инфраструктуру. Битка против рансомваре-а је далеко од краја, а информисање је први корак у заштити ваше дигиталне имовине.