Pinagsasamantalahan ng BlackByte Ransomware ang VMware ESXi Flaw na Naglulunsad ng Bagong Daloy ng Mga Banta sa Cyber
Ang BlackByte ransomware group ay bumalik, at sa pagkakataong ito, sinasamantala nila ang isang bagong patched na kahinaan sa VMware ESXi hypervisors, na nagpapataas ng alarma sa buong cybersecurity landscape. Ginamit ng grupo, na kilalang-kilala sa modelong ransomware-as-a-service (RaaS) nito, ang kapintasang ito (CVE-2024-37085) para ikompromiso ang mga system, na minarkahan ang isang makabuluhang ebolusyon sa kanilang diskarte sa pag-atake.
Talaan ng mga Nilalaman
Pagsasamantala sa VMware ESXi: Isang Mapanganib na Paglipat
Sa isang kamakailang attack wave, ang BlackByte ay naobserbahang nagsasamantala sa isang authentication bypass vulnerability sa VMware ESXi, na nagpapahintulot sa mga attacker na makakuha ng mga pribilehiyo ng administrator sa hypervisor. Ang kahinaan na ito, ang CVE-2024-37085, ay ginawan ng armas ng iba't ibang grupo ng ransomware, ngunit ang paggamit nito ng BlackByte ay nagpapahiwatig ng isang mapanganib na pivot sa kanilang mga taktika. Sa pamamagitan ng pagsasamantala sa kapintasang ito, nagawa ng mga banta ng aktor na palakihin ang mga pribilehiyo, makakuha ng hindi awtorisadong pag-access sa mga log ng system, at kontrolin ang mga virtual machine (VM).
Ang pagsasamantalang ito sa mga pampublikong kahinaan para sa paunang pag-access ay hindi bago para sa BlackByte. Gayunpaman, ang kanilang kamakailang paglipat sa paggamit ng VPN access, malamang na nakuha sa pamamagitan ng malupit na puwersang pag-atake, ay nagha-highlight sa kanilang adaptive na diskarte. Sa pamamagitan ng paggamit ng mga wastong kredensyal upang ma-access ang VPN ng biktima, nagawa ng BlackByte na bawasan ang visibility mula sa mga endpoint detection and response (EDR) system ng organisasyon, na ginagawang mas patago ang kanilang mga pag-atake.
Ang Papel ng Mga Mahinang Driver sa Pag-disable ng Seguridad
Ang isang pangunahing bahagi ng diskarte sa pag-atake ng BlackByte ay nagsasangkot ng paggamit ng mga masusugatan na driver upang i-disarm ang mga proteksyon sa seguridad, isang pamamaraan na kilala bilang "dalhin ang iyong sariling mahinang driver" (BYOVD). Sa kanilang pinakahuling pag-atake, nag-deploy ang BlackByte ng maraming masusugatan na driver, kabilang ang RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys, at gdrv.sys, upang wakasan ang mga proseso ng seguridad at bypass na mga kontrol. Ang pamamaraang ito ay napatunayang lubos na epektibo sa pag-iwas sa pagtuklas, na nagpapahintulot sa ransomware na kumalat nang mabilis sa mga network.
Ebolusyon sa Mga Teknik ng Ransomware
Ang pag-unlad ng BlackByte mula sa paggamit ng C# to Go, at ngayon sa C/C++, sa kanilang ransomware encryptor ay sumasalamin sa isang sadyang pagsisikap na pahusayin ang katatagan ng malware laban sa pagtuklas at pagsusuri. Ang pinakabagong bersyon, ang BlackByteNT, ay nagsasama ng mga advanced na anti-analysis at anti-debugging na diskarte, na ginagawang mas mahirap para sa mga propesyonal sa cybersecurity na kontrahin ang banta.
Ang kakayahang umangkop na ito ay bahagi ng isang mas malawak na trend sa mga pangkat ng ransomware, gaya ng na-highlight ng kamakailang pananaliksik. Ang pagbubunyag mula sa Cisco Talos ay kasama ng mga natuklasan mula sa Group-IB, na nagdetalye sa mga taktika ng iba pang mga strain ng ransomware tulad ng Brain Cipher at RansomHub. Ang mga pangkat na ito, na katulad ng BlackByte, ay nag-evolve ng kanilang mga pamamaraan, na nagpatibay ng mga bagong programming language at mga diskarte upang manatiling nangunguna sa mga hakbang sa seguridad.
Ang Patuloy na Banta
Ang mga sektor ng propesyonal, siyentipiko, at teknikal na serbisyo ay kabilang sa mga pinakanakalantad sa mga ganitong uri ng pag-atake ng ransomware, na may malaking panganib din sa mga serbisyo sa pagmamanupaktura at pang-edukasyon. Sa kabila ng ilang pagsisikap na labanan ang BlackByte—gaya ng paglabas ng isang decryptor ng Trustwave noong Oktubre 2021—patuloy na pinipino ng grupo ang mga operasyon nito, na gumagamit ng mga custom na tool tulad ng ExByte para sa pag-exfiltration ng data bago ang pag-encrypt.
Ang bilis kung saan sinasamantala ng BlackByte at iba pang grupo ng ransomware ang mga bagong ibinunyag na kahinaan ay isang malinaw na paalala ng patuloy na banta na kanilang dulot. Habang patuloy nilang inaangkop at pinipino ang kanilang mga diskarte, dapat manatiling mapagbantay ang mga organisasyon, tinitiyak na ang kanilang mga sistema ay na-patch kaagad at ang mga hakbang sa seguridad ay sapat na matatag upang labanan ang mga umuusbong na pag-atake na ito.
Pangwakas na Kaisipan
Binibigyang-diin ng pinakabagong attack wave ng BlackByte ang kahalagahan ng mga proactive na hakbang sa cybersecurity. Habang patuloy na umuunlad ang mga pangkat ng ransomware tulad ng BlackByte, na gumagamit ng mga bagong kahinaan at diskarte, ang mga organisasyon ay dapat manatiling nangunguna sa curve upang maprotektahan ang kanilang kritikal na imprastraktura. Hindi pa tapos ang labanan laban sa ransomware, at ang pananatiling may kaalaman ay ang unang hakbang sa pagprotekta sa iyong mga digital asset.