பிளாக்பைட் ரான்சம்வேர் VMware ESXi குறைபாட்டைப் பயன்படுத்தி புதிய சைபர் அச்சுறுத்தல்களை அறிமுகப்படுத்துகிறது

BlackByte ransomware குழு மீண்டும் வந்துவிட்டது, இந்த நேரத்தில், அவர்கள் VMware ESXi ஹைப்பர்வைசர்களில் புதிதாக இணைக்கப்பட்ட பாதிப்பைப் பயன்படுத்தி, சைபர் பாதுகாப்பு நிலப்பரப்பில் எச்சரிக்கையை எழுப்புகின்றனர். குழுவானது, அதன் ransomware-as-a-service (RaaS) மாதிரிக்கு இழிவானது, இந்த குறைபாட்டை (CVE-2024-37085) பயன்படுத்தி அமைப்புகளை சமரசம் செய்து, அவர்களின் தாக்குதல் உத்தியில் குறிப்பிடத்தக்க பரிணாமத்தை குறிக்கிறது.

VMware ESXi ஐப் பயன்படுத்துதல்: ஒரு ஆபத்தான மாற்றம்

சமீபத்திய தாக்குதல் அலையில், பிளாக்பைட் VMware ESXi இல் ஒரு அங்கீகரிப்பு பைபாஸ் பாதிப்பைப் பயன்படுத்துவதைக் கண்டது, இது தாக்குபவர்கள் ஹைப்பர்வைசரில் நிர்வாகி சலுகைகளைப் பெற அனுமதிக்கிறது. இந்த பாதிப்பு, CVE-2024-37085, பல்வேறு ransomware குழுக்களால் ஆயுதமாக்கப்பட்டது, ஆனால் BlackByte இதைப் பயன்படுத்துவது அவர்களின் தந்திரோபாயங்களில் ஒரு ஆபத்தான மையத்தைக் குறிக்கிறது. இந்தக் குறைபாட்டைப் பயன்படுத்துவதன் மூலம், அச்சுறுத்தல் நடிகர்கள் சலுகைகளை அதிகரிக்கவும், கணினி பதிவுகளுக்கு அங்கீகரிக்கப்படாத அணுகலைப் பெறவும், மெய்நிகர் இயந்திரங்களைக் (VMs) கட்டுப்படுத்தவும் முடிந்தது.

ஆரம்ப அணுகலுக்கான பொது எதிர்கொள்ளும் பாதிப்புகளை இந்த சுரண்டல் BlackByte க்கு புதிதல்ல. இருப்பினும், VPN அணுகலைப் பயன்படுத்துவதற்கான அவர்களின் சமீபத்திய மாற்றம், மிருகத்தனமான தாக்குதல்கள் மூலம் பெறப்பட்டிருக்கலாம், இது அவர்களின் தகவமைப்பு அணுகுமுறையை எடுத்துக்காட்டுகிறது. பாதிக்கப்பட்டவரின் VPN ஐ அணுகுவதற்கு செல்லுபடியாகும் நற்சான்றிதழ்களைப் பயன்படுத்துவதன் மூலம், நிறுவனத்தின் இறுதிப்புள்ளி கண்டறிதல் மற்றும் பதில் (EDR) அமைப்புகளிலிருந்து தெரிவுநிலையைக் குறைக்க BlackByte நிர்வகிக்கிறது, மேலும் அவர்களின் தாக்குதல்களை இன்னும் திருட்டுத்தனமாக மாற்றுகிறது.

பாதுகாப்பை முடக்குவதில் பாதிக்கப்படக்கூடிய ஓட்டுனர்களின் பங்கு

பிளாக்பைட்டின் தாக்குதல் மூலோபாயத்தின் ஒரு முக்கிய கூறுபாடு பாதுகாப்பு பாதுகாப்புகளை நிராயுதபாணியாக்க பாதிக்கப்படக்கூடிய இயக்கிகளைப் பயன்படுத்துவதை உள்ளடக்கியது, இது "உங்கள் சொந்த பாதிக்கப்படக்கூடிய இயக்கியைக் கொண்டு வாருங்கள்" (BYOVD) என்று அழைக்கப்படுகிறது. அவர்களின் சமீபத்திய தாக்குதலில், பிளாக்பைட் RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys மற்றும் gdrv.sys உள்ளிட்ட பல பாதிப்புக்குள்ளான இயக்கிகளை பாதுகாப்பு செயல்முறைகள் மற்றும் பைபாஸ் கட்டுப்பாடுகளை நிறுத்துவதற்கு பயன்படுத்தியது. இந்த முறை கண்டறிதலைத் தவிர்ப்பதில் மிகவும் பயனுள்ளதாக நிரூபிக்கப்பட்டுள்ளது, இது ransomware நெட்வொர்க்குகள் முழுவதும் வேகமாக பரவ அனுமதிக்கிறது.

Ransomware நுட்பங்களில் பரிணாமம்

பிளாக்பைட்டின் முன்னேற்றமானது C# to Go மற்றும் இப்போது C/C++ க்கு, அவர்களின் ransomware என்க்ரிப்டரில் கண்டறிதல் மற்றும் பகுப்பாய்விற்கு எதிராக தீம்பொருளின் பின்னடைவை மேம்படுத்துவதற்கான திட்டமிட்ட முயற்சியை பிரதிபலிக்கிறது. சமீபத்திய பதிப்பு, BlackByteNT, மேம்பட்ட எதிர்ப்பு பகுப்பாய்வு மற்றும் பிழைத்திருத்த எதிர்ப்பு நுட்பங்களை உள்ளடக்கியது, இது சைபர் பாதுகாப்பு நிபுணர்களுக்கு அச்சுறுத்தலை எதிர்கொள்வது மிகவும் சவாலானது.

ransomware குழுக்களிடையே இந்த ஏற்புத்திறன் ஒரு பரந்த போக்கின் ஒரு பகுதியாகும், இது சமீபத்திய ஆராய்ச்சி மூலம் உயர்த்தி காட்டப்பட்டுள்ளது. Cisco Talos இன் வெளிப்பாடு குரூப்-IB இன் கண்டுபிடிப்புகளுடன் வருகிறது, இது Brain Cipher மற்றும் RansomHub போன்ற பிற ransomware விகாரங்களின் தந்திரங்களை விவரிக்கிறது. இந்த குழுக்கள், பிளாக்பைட்டைப் போலவே, தங்கள் முறைகளை உருவாக்கி, புதிய நிரலாக்க மொழிகள் மற்றும் நுட்பங்களைப் பயன்படுத்தி பாதுகாப்பு நடவடிக்கைகளுக்கு முன்னால் இருக்க வேண்டும்.

தொடரும் அச்சுறுத்தல்

இந்த வகையான ransomware தாக்குதல்களுக்கு தொழில்முறை, அறிவியல் மற்றும் தொழில்நுட்ப சேவைகள் துறைகள் மிகவும் வெளிப்படும், உற்பத்தி மற்றும் கல்வி சேவைகளும் குறிப்பிடத்தக்க ஆபத்தில் உள்ளன. அக்டோபர் 2021 இல் Trustwave மூலம் டிக்ரிப்டரை வெளியிடுவது போன்ற BlackByte-ஐ எதிர்த்துப் போராடுவதற்கான சில முயற்சிகள் இருந்தபோதிலும், குழு அதன் செயல்பாடுகளைச் செம்மைப்படுத்தியது, குறியாக்கத்திற்கு முன் தரவுகளை வெளியேற்றுவதற்காக ExByte போன்ற தனிப்பயன் கருவிகளைப் பயன்படுத்துகிறது.

பிளாக்பைட் மற்றும் பிற ransomware குழுக்கள் புதிதாக வெளிப்படுத்தப்பட்ட பாதிப்புகளை சுரண்டிக் கொள்ளும் வேகம், அவர்கள் முன்வைக்கும் அச்சுறுத்தலை அப்பட்டமாக நினைவூட்டுகிறது. அவர்கள் தொடர்ந்து தங்கள் நுட்பங்களை மாற்றியமைத்து செம்மைப்படுத்துவதால், நிறுவனங்கள் விழிப்புடன் இருக்க வேண்டும், அவற்றின் அமைப்புகள் உடனடியாக இணைக்கப்படுவதையும், இந்த வளர்ந்து வரும் தாக்குதல்களை எதிர்கொள்ளும் அளவுக்கு பாதுகாப்பு நடவடிக்கைகள் வலுவாக இருப்பதையும் உறுதிசெய்ய வேண்டும்.

இறுதி எண்ணங்கள்

பிளாக்பைட்டின் சமீபத்திய தாக்குதல் அலையானது செயலில் இணைய பாதுகாப்பு நடவடிக்கைகளின் முக்கியத்துவத்தை அடிக்கோடிட்டுக் காட்டுகிறது. பிளாக்பைட் போன்ற ransomware குழுக்கள் தொடர்ந்து உருவாகி வருவதால், புதிய பாதிப்புகள் மற்றும் நுட்பங்களைப் பயன்படுத்தி, நிறுவனங்கள் தங்கள் முக்கியமான உள்கட்டமைப்பைப் பாதுகாக்க வளைவுக்கு முன்னால் இருக்க வேண்டும். Ransomware க்கு எதிரான போர் இன்னும் வெகு தொலைவில் உள்ளது, மேலும் தகவலறிந்து இருப்பது உங்கள் டிஜிட்டல் சொத்துகளைப் பாதுகாப்பதற்கான முதல் படியாகும்.