బ్లాక్బైట్ రాన్సమ్వేర్ VMware ESXi లోపంతో కొత్త సైబర్ బెదిరింపులను ప్రారంభించింది
BlackByte ransomware సమూహం తిరిగి వచ్చింది మరియు ఈసారి, వారు VMware ESXi హైపర్వైజర్లలో కొత్తగా ప్యాచ్ చేయబడిన దుర్బలత్వాన్ని ఉపయోగించుకుంటున్నారు, సైబర్ సెక్యూరిటీ ల్యాండ్స్కేప్లో అలారం పెంచారు. సమూహం, దాని ransomware-as-a-service (RaaS) మోడల్కు అపఖ్యాతి పాలైంది, ఈ లోపాన్ని (CVE-2024-37085) సిస్టమ్లతో రాజీ పడేలా చేసింది, ఇది వారి దాడి వ్యూహంలో గణనీయమైన పరిణామాన్ని సూచిస్తుంది.
విషయ సూచిక
VMware ESXiని ఉపయోగించుకోవడం: ప్రమాదకరమైన మార్పు
ఇటీవలి దాడి వేవ్లో, బ్లాక్బైట్ VMware ESXiలో ప్రామాణీకరణ బైపాస్ దుర్బలత్వాన్ని ఉపయోగించుకోవడం గమనించబడింది, ఇది దాడి చేసేవారిని హైపర్వైజర్పై నిర్వాహక అధికారాలను పొందేందుకు అనుమతిస్తుంది. ఈ దుర్బలత్వం, CVE-2024-37085, వివిధ ransomware సమూహాలచే ఆయుధం చేయబడింది, అయితే BlackByte దీనిని ఉపయోగించడం వారి వ్యూహాలలో ప్రమాదకరమైన పైవట్ను సూచిస్తుంది. ఈ లోపాన్ని ఉపయోగించుకోవడం ద్వారా, ముప్పు నటులు అధికారాలను పెంచుకోగలిగారు, సిస్టమ్ లాగ్లకు అనధికారిక యాక్సెస్ను పొందగలిగారు మరియు వర్చువల్ మిషన్లను (VMలు) నియంత్రించగలిగారు.
ప్రారంభ యాక్సెస్ కోసం పబ్లిక్-ఫేసింగ్ దుర్బలత్వం యొక్క ఈ దోపిడీ BlackByteకి కొత్త కాదు. అయినప్పటికీ, బ్రూట్-ఫోర్స్ అటాక్ల ద్వారా పొందిన VPN యాక్సెస్ని ఉపయోగించేందుకు వారి ఇటీవలి మార్పు, వారి అనుకూల విధానాన్ని హైలైట్ చేస్తుంది. బాధితుడి VPNని యాక్సెస్ చేయడానికి చెల్లుబాటు అయ్యే ఆధారాలను ఉపయోగించడం ద్వారా, బ్లాక్బైట్ సంస్థ యొక్క ఎండ్పాయింట్ డిటెక్షన్ మరియు రెస్పాన్స్ (EDR) సిస్టమ్ల నుండి దృశ్యమానతను తగ్గించగలిగింది, వారి దాడులను మరింత రహస్యంగా చేస్తుంది.
భద్రతను నిలిపివేయడంలో హాని కలిగించే డ్రైవర్ల పాత్ర
బ్లాక్బైట్ యొక్క దాడి వ్యూహం యొక్క ముఖ్య భాగం భద్రతా రక్షణలను నిరాయుధీకరించడానికి హాని కలిగించే డ్రైవర్లను ఉపయోగించడం, "మీ స్వంత హాని కలిగించే డ్రైవర్ను తీసుకురండి" (BYOVD) అని పిలువబడే సాంకేతికత. వారి తాజా దాడిలో, బ్లాక్బైట్ భద్రతా ప్రక్రియలు మరియు బైపాస్ నియంత్రణలను ముగించడానికి RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys మరియు gdrv.sys సహా బహుళ హాని కలిగించే డ్రైవర్లను మోహరించింది. ransomware నెట్వర్క్లలో వేగంగా వ్యాప్తి చెందడానికి వీలు కల్పిస్తూ, గుర్తించకుండా తప్పించుకోవడంలో ఈ పద్ధతి అత్యంత ప్రభావవంతమైనదిగా నిరూపించబడింది.
Ransomware టెక్నిక్స్లో పరిణామం
బ్లాక్బైట్ వారి ransomware ఎన్క్రిప్టర్లో C# టు గో మరియు ఇప్పుడు C/C++కి ఉపయోగించడం ద్వారా మాల్వేర్ యొక్క గుర్తింపు మరియు విశ్లేషణకు వ్యతిరేకంగా మాల్వేర్ యొక్క స్థితిస్థాపకతను మెరుగుపరచడానికి ఉద్దేశపూర్వక ప్రయత్నాన్ని ప్రతిబింబిస్తుంది. తాజా వెర్షన్, BlackByteNT, అధునాతన యాంటీ-ఎనాలిసిస్ మరియు యాంటీ-డీబగ్గింగ్ టెక్నిక్లను కలిగి ఉంది, ఇది సైబర్ సెక్యూరిటీ నిపుణులకు ముప్పును ఎదుర్కోవడం మరింత సవాలుగా మారింది.
ఇటీవలి పరిశోధన ద్వారా హైలైట్ చేయబడినట్లుగా, ఈ అనుకూలత అనేది ransomware సమూహాలలో విస్తృత ధోరణిలో భాగం. Cisco Talos నుండి బహిర్గతం గ్రూప్-IB నుండి కనుగొన్న వాటితో పాటు వస్తుంది, ఇది బ్రెయిన్ సైఫర్ మరియు రాన్సమ్హబ్ వంటి ఇతర ransomware జాతుల వ్యూహాలను వివరించింది. బ్లాక్బైట్ మాదిరిగానే ఈ సమూహాలు తమ పద్ధతులను అభివృద్ధి చేశాయి, కొత్త ప్రోగ్రామింగ్ లాంగ్వేజ్లు మరియు టెక్నిక్లను అనుసరించి భద్రతా చర్యల కంటే ముందుంటాయి.
కొనసాగుతున్న ముప్పు
వృత్తిపరమైన, శాస్త్రీయ మరియు సాంకేతిక సేవల రంగాలు ఈ రకమైన ransomware దాడులకు ఎక్కువగా గురవుతాయి, తయారీ మరియు విద్యా సేవలు కూడా గణనీయమైన ప్రమాదంలో ఉన్నాయి. అక్టోబర్ 2021లో ట్రస్ట్వేవ్ ద్వారా డిక్రిప్టర్ను విడుదల చేయడం వంటి బ్లాక్బైట్ను ఎదుర్కోవడానికి కొన్ని ప్రయత్నాలు చేసినప్పటికీ, గ్రూప్ తన కార్యకలాపాలను మెరుగుపరచడం కొనసాగించింది, ఎన్క్రిప్షన్కు ముందు డేటా ఎక్స్ఫిల్ట్రేషన్ కోసం ఎక్స్బైట్ వంటి అనుకూల సాధనాలను ఉపయోగిస్తోంది.
బ్లాక్బైట్ మరియు ఇతర ransomware సమూహాలు కొత్తగా వెల్లడించిన దుర్బలత్వాలను ఉపయోగించుకునే వేగం, అవి ఎప్పుడూ ఎదురయ్యే ముప్పును పూర్తిగా గుర్తుచేస్తుంది. వారు తమ సాంకేతికతలను స్వీకరించడం మరియు మెరుగుపరచడం కొనసాగిస్తున్నందున, సంస్థలు అప్రమత్తంగా ఉండాలి, వారి వ్యవస్థలు తక్షణమే అతుక్కొని ఉన్నాయని మరియు ఈ అభివృద్ధి చెందుతున్న దాడులను ఎదుర్కోవడానికి భద్రతా చర్యలు పటిష్టంగా ఉన్నాయని నిర్ధారించుకోవాలి.
తుది ఆలోచనలు
బ్లాక్బైట్ యొక్క తాజా దాడి వేవ్ ప్రోయాక్టివ్ సైబర్ సెక్యూరిటీ చర్యల యొక్క ప్రాముఖ్యతను నొక్కి చెబుతుంది. బ్లాక్బైట్ వంటి ransomware సమూహాలు అభివృద్ధి చెందుతూనే ఉన్నాయి, కొత్త దుర్బలత్వాలు మరియు సాంకేతికతలను ప్రభావితం చేస్తాయి, సంస్థలు తమ క్లిష్టమైన అవస్థాపనను రక్షించడానికి వక్రరేఖ కంటే ముందు ఉండాలి. Ransomwareకి వ్యతిరేకంగా యుద్ధం ముగిసిపోలేదు మరియు మీ డిజిటల్ ఆస్తులను కాపాడుకోవడంలో మొదటి మెట్టు సమాచారం.