BlackByte Ransomware ใช้ประโยชน์จากช่องโหว่ VMware ESXi ก่อให้เกิดภัยคุกคามทางไซเบอร์ครั้งใหม่
กลุ่ม แรนซัมแวร์ BlackByte กลับมาอีกครั้ง และในครั้งนี้ พวกเขากำลังใช้ประโยชน์จากช่องโหว่ที่เพิ่งได้รับการแก้ไขในไฮเปอร์ไวเซอร์ VMware ESXi ทำให้เกิดความกังวลในแวดวงไซเบอร์ซีเคียวริตี้ กลุ่มนี้ซึ่งมีชื่อเสียงในด้านโมเดลแรนซัมแวร์แบบบริการ (RaaS) ได้ใช้ประโยชน์จากข้อบกพร่องนี้ (CVE-2024-37085) เพื่อโจมตีระบบ ซึ่งถือเป็นวิวัฒนาการครั้งสำคัญในกลยุทธ์การโจมตีของพวกเขา
สารบัญ
การใช้ประโยชน์จาก VMware ESXi: การเปลี่ยนแปลงที่อันตราย
จากการโจมตีระลอกล่าสุด พบว่า BlackByte ใช้ประโยชน์จากช่องโหว่การหลีกเลี่ยงการตรวจสอบสิทธิ์ใน VMware ESXi ซึ่งทำให้ผู้โจมตีได้รับสิทธิ์ผู้ดูแลระบบบนไฮเปอร์ไวเซอร์ ช่องโหว่ CVE-2024-37085 นี้ถูกกลุ่มแรนซัมแวร์หลายกลุ่มนำมาใช้เป็นอาวุธ แต่การใช้ช่องโหว่นี้ของ BlackByte ถือเป็นสัญญาณของการเปลี่ยนแปลงกลยุทธ์ที่อันตราย โดยการใช้ประโยชน์จากช่องโหว่นี้ ผู้ก่อภัยคุกคามสามารถยกระดับสิทธิ์ เข้าถึงบันทึกระบบโดยไม่ได้รับอนุญาต และควบคุมเครื่องเสมือน (VM) ได้
การใช้ประโยชน์จากช่องโหว่ที่เปิดเผยต่อสาธารณะเพื่อการเข้าถึงเบื้องต้นไม่ใช่เรื่องใหม่สำหรับ BlackByte อย่างไรก็ตาม การเปลี่ยนแปลงล่าสุดในการใช้การเข้าถึง VPN ซึ่งน่าจะได้มาโดยการโจมตีแบบบรูทฟอร์ซ เน้นย้ำถึงแนวทางการปรับตัวของพวกเขา โดยการใช้ข้อมูลประจำตัวที่ถูกต้องเพื่อเข้าถึง VPN ของเหยื่อ BlackByte สามารถลดการมองเห็นจากระบบตรวจจับและตอบสนองปลายทาง (EDR) ขององค์กรได้ ทำให้การโจมตีของพวกเขามีความลึกลับยิ่งขึ้น
บทบาทของไดรเวอร์ที่มีความเสี่ยงในการปิดการใช้งานระบบรักษาความปลอดภัย
องค์ประกอบสำคัญของกลยุทธ์การโจมตีของ BlackByte เกี่ยวข้องกับการใช้ไดรเวอร์ที่มีช่องโหว่เพื่อปิดระบบป้องกันความปลอดภัย ซึ่งเป็นเทคนิคที่เรียกว่า "นำไดรเวอร์ที่มีช่องโหว่ของคุณเองมาใช้" (BYOVD) ในการโจมตีครั้งล่าสุด BlackByte ได้ใช้ไดรเวอร์ที่มีช่องโหว่หลายตัว รวมถึง RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys และ gdrv.sys เพื่อยุติกระบวนการรักษาความปลอดภัยและหลีกเลี่ยงการควบคุม วิธีการนี้ได้รับการพิสูจน์แล้วว่ามีประสิทธิภาพสูงในการหลบเลี่ยงการตรวจจับ ทำให้แรนซัมแวร์แพร่กระจายอย่างรวดเร็วในเครือข่าย
วิวัฒนาการในเทคนิค Ransomware
ความก้าวหน้าของ BlackByte จากการใช้ C# to Go และตอนนี้เป็น C/C++ ในตัวเข้ารหัสแรนซัมแวร์สะท้อนถึงความพยายามที่จงใจในการเพิ่มความทนทานของมัลแวร์ต่อการตรวจจับและการวิเคราะห์ เวอร์ชันล่าสุด BlackByteNT นำเทคนิคต่อต้านการวิเคราะห์และต่อต้านการดีบักขั้นสูงมาใช้ ทำให้ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ต้องเผชิญกับความท้าทายมากขึ้นในการรับมือกับภัยคุกคาม
ความสามารถในการปรับตัวนี้เป็นส่วนหนึ่งของแนวโน้มที่กว้างขึ้นในกลุ่มแรนซัมแวร์ ซึ่งเน้นย้ำโดยการวิจัยล่าสุด การเปิดเผยจาก Cisco Talos มาพร้อมกับผลการค้นพบจาก Group-IB ซึ่งให้รายละเอียดเกี่ยวกับกลยุทธ์ของแรนซัมแวร์สายพันธุ์อื่น ๆ เช่น Brain Cipher และ RansomHub กลุ่มเหล่านี้ เช่นเดียวกับ BlackByte ได้พัฒนาวิธีการของตนเอง โดยนำภาษาโปรแกรมและเทคนิคใหม่ ๆ มาใช้เพื่อให้ก้าวล้ำหน้ามาตรการรักษาความปลอดภัย
ภัยคุกคามที่ยังคงดำเนินอยู่
ภาคส่วนบริการด้านวิชาชีพ วิทยาศาสตร์ และเทคนิคเป็นกลุ่มที่มีความเสี่ยงสูงที่สุดต่อการโจมตีด้วยแรนซัมแวร์ประเภทนี้ โดยภาคส่วนการผลิตและการศึกษาก็มีความเสี่ยงสูงเช่นกัน แม้จะมีความพยายามบางอย่างในการต่อสู้กับ BlackByte เช่น การเปิดตัวตัวถอดรหัสโดย Trustwave ในเดือนตุลาคม 2021 แต่กลุ่มดังกล่าวก็ยังคงปรับปรุงการดำเนินงานต่อไป โดยใช้เครื่องมือพิเศษ เช่น ExByte สำหรับการขโมยข้อมูลก่อนการเข้ารหัส
ความเร็วที่ BlackByte และกลุ่มแรนซัมแวร์อื่นๆ ใช้ประโยชน์จากช่องโหว่ที่เพิ่งเปิดเผยเป็นเครื่องเตือนใจอย่างชัดเจนถึงภัยคุกคามที่เกิดขึ้นอยู่เสมอ ในขณะที่พวกเขาปรับตัวและปรับปรุงเทคนิคต่างๆ อย่างต่อเนื่อง องค์กรต่างๆ จะต้องเฝ้าระวังต่อไป โดยต้องแน่ใจว่าระบบของตนได้รับการแก้ไขอย่างทันท่วงที และมาตรการรักษาความปลอดภัยต้องแข็งแกร่งเพียงพอที่จะรับมือกับการโจมตีที่เปลี่ยนแปลงไปเหล่านี้
ความคิดสุดท้าย
การโจมตีครั้งล่าสุดของ BlackByte เน้นย้ำถึงความสำคัญของมาตรการป้องกันความปลอดภัยทางไซเบอร์เชิงรุก ในขณะที่กลุ่มแรนซัมแวร์อย่าง BlackByte ยังคงพัฒนาต่อไปโดยใช้ประโยชน์จากช่องโหว่และเทคนิคใหม่ๆ องค์กรต่างๆ จะต้องก้าวล้ำหน้าอยู่เสมอเพื่อปกป้องโครงสร้างพื้นฐานที่สำคัญของตน การต่อสู้กับแรนซัมแวร์ยังคงไม่สิ้นสุด และการคอยติดตามข้อมูลข่าวสารถือเป็นขั้นตอนแรกในการปกป้องสินทรัพย์ดิจิทัลของคุณ