BlackByte Ransomware utnyttjar VMware ESXi-fel och lanserar en ny våg av cyberhot
BlackByte ransomware -gruppen är tillbaka, och den här gången utnyttjar de en nyligen korrigerad sårbarhet i VMware ESXi-hypervisorer, vilket skapar larm över cybersäkerhetslandskapet. Gruppen, ökända för sin ransomware-as-a-service (RaaS)-modell, har utnyttjat denna brist (CVE-2024-37085) för att kompromissa med system, vilket markerar en betydande utveckling i deras attackstrategi.
Innehållsförteckning
Utnyttja VMware ESXi: A Dangerous Shift
I en nyligen genomförd attackvåg observerades BlackByte utnyttja en sårbarhet för förbikoppling av autentisering i VMware ESXi, vilket gör att angripare kan få administratörsbehörigheter på hypervisorn. Denna sårbarhet, CVE-2024-37085, har beväpnats av olika ransomware-grupper, men BlackBytes användning av den signalerar en farlig pivot i deras taktik. Genom att utnyttja denna brist kunde hotaktörerna eskalera privilegier, få obehörig åtkomst till systemloggar och kontrollera virtuella maskiner (VM).
Denna exploatering av allmänt vända sårbarheter för initial åtkomst är inte ny för BlackByte. Men deras senaste övergång till att använda VPN-åtkomst, troligen erhållen genom brute-force-attacker, belyser deras adaptiva tillvägagångssätt. Genom att utnyttja giltiga referenser för att komma åt ett offers VPN, har BlackByte lyckats minska synligheten från organisationens system för slutpunktsdetektering och -svar (EDR), vilket gör deras attacker ännu mer smygande.
Rollen för sårbara förare för att inaktivera säkerhet
En nyckelkomponent i BlackBytes attackstrategi involverar användningen av sårbara förare för att avväpna säkerhetsskydd, en teknik som kallas "bring your own vulnerable driver" (BYOVD). I sin senaste attack distribuerade BlackByte flera sårbara drivrutiner, inklusive RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys och gdrv.sys, för att avsluta säkerhetsprocesser och kringgå kontroller. Denna metod har visat sig vara mycket effektiv för att undvika upptäckt, vilket gör att ransomwaren kan spridas snabbt över nätverk.
Utveckling av Ransomware-tekniker
BlackBytes utveckling från att använda C# till Go, och nu till C/C++, i deras ransomware-kryptering återspeglar ett medvetet försök att förbättra skadlig programvaras motståndskraft mot upptäckt och analys. Den senaste versionen, BlackByteNT, innehåller avancerade antianalys- och anti-felsökningstekniker, vilket gör det mer utmanande för cybersäkerhetsproffs att motverka hotet.
Denna anpassningsförmåga är en del av en bredare trend bland ransomware-grupper, vilket framhålls av nyare forskning. Avslöjandet från Cisco Talos kommer tillsammans med resultat från Group-IB, som detaljerade taktiken för andra ransomware-stammar som Brain Cipher och RansomHub. Dessa grupper, liknande BlackByte, har utvecklat sina metoder och antagit nya programmeringsspråk och tekniker för att ligga steget före säkerhetsåtgärderna.
Det pågående hotet
Den professionella, vetenskapliga och tekniska tjänstesektorn är bland de mest utsatta för dessa typer av ransomware-attacker, med tillverknings- och utbildningstjänster som också löper stor risk. Trots vissa ansträngningar för att bekämpa BlackByte – som släppandet av en dekryptering av Trustwave i oktober 2021 – har gruppen fortsatt att förfina sin verksamhet genom att använda anpassade verktyg som ExByte för dataexfiltrering före kryptering.
Den hastighet med vilken BlackByte och andra ransomware-grupper utnyttjar nyligen avslöjade sårbarheter är en skarp påminnelse om det ständigt närvarande hot de utgör. När de fortsätter att anpassa och förfina sina tekniker måste organisationer vara vaksamma, se till att deras system korrigeras snabbt och att säkerhetsåtgärderna är tillräckligt robusta för att motverka dessa föränderliga attacker.
Slutliga tankar
BlackBytes senaste attackvåg understryker vikten av proaktiva cybersäkerhetsåtgärder. Eftersom ransomware-grupper som BlackByte fortsätter att utvecklas och utnyttjar nya sårbarheter och tekniker, måste organisationer ligga före kurvan för att skydda sin kritiska infrastruktur. Kampen mot ransomware är långt ifrån över, och att hålla sig informerad är det första steget för att skydda dina digitala tillgångar.