BlackByte Fidye Yazılımı VMware ESXi Açığını Kullanarak Yeni Bir Siber Tehdit Dalgası Başlattı
BlackByte fidye yazılımı grubu geri döndü ve bu sefer, VMware ESXi hipervizörlerindeki yeni yamalanmış bir güvenlik açığını istismar ederek siber güvenlik alanında alarma geçtiler. Hizmet olarak fidye yazılımı (RaaS) modeliyle ünlenen grup, bu açığı (CVE-2024-37085) sistemleri tehlikeye atmak için kullandı ve saldırı stratejilerinde önemli bir evrime işaret etti.
İçindekiler
VMware ESXi'yi Kullanmak: Tehlikeli Bir Değişim
Son bir saldırı dalgasında, BlackByte'ın VMware ESXi'deki bir kimlik doğrulama atlama açığını istismar ettiği gözlemlendi; bu, saldırganların hipervizörde yönetici ayrıcalıkları elde etmesine olanak tanır. Bu güvenlik açığı, CVE-2024-37085, çeşitli fidye yazılımı grupları tarafından silah olarak kullanıldı, ancak BlackByte'ın bunu kullanması, taktiklerinde tehlikeli bir dönüşe işaret ediyor. Bu açığı istismar ederek, tehdit aktörleri ayrıcalıkları artırabildi, sistem günlüklerine yetkisiz erişim elde edebildi ve sanal makineleri (VM'ler) kontrol edebildi.
İlk erişim için kamuya açık güvenlik açıklarının bu şekilde istismar edilmesi BlackByte için yeni bir şey değil. Ancak, muhtemelen kaba kuvvet saldırılarıyla elde edilen VPN erişimini kullanmaya yönelik son geçişleri, uyarlanabilir yaklaşımlarını vurguluyor. BlackByte, bir kurbanın VPN'ine erişmek için geçerli kimlik bilgilerini kullanarak, kuruluşun uç nokta algılama ve yanıt (EDR) sistemlerinden görünürlüğü azaltmayı başardı ve saldırılarını daha da gizli hale getirdi.
Güvenliği Devre Dışı Bırakmada Savunmasız Sürücülerin Rolü
BlackByte'ın saldırı stratejisinin önemli bir bileşeni, güvenlik korumalarını etkisiz hale getirmek için savunmasız sürücülerin kullanılmasını içerir; bu teknik "kendi savunmasız sürücünüzü getirin" (BYOVD) olarak bilinir. BlackByte, son saldırılarında güvenlik süreçlerini sonlandırmak ve kontrolleri atlatmak için RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys ve gdrv.sys dahil olmak üzere birden fazla savunmasız sürücü dağıttı. Bu yöntem, tespit edilmekten kaçınmada oldukça etkili olduğunu kanıtladı ve fidye yazılımının ağlar arasında hızla yayılmasına olanak tanıdı.
Fidye Yazılımı Tekniklerindeki Evrim
BlackByte'ın fidye yazılımı şifreleyicisinde C#'den Go'ya ve şimdi de C/C++'a geçişi, kötü amaçlı yazılımın tespit ve analize karşı dayanıklılığını artırmak için bilinçli bir çabayı yansıtıyor. En son sürüm olan BlackByteNT, gelişmiş anti-analiz ve anti-hata ayıklama tekniklerini içeriyor ve siber güvenlik uzmanlarının tehdide karşı koymasını daha da zorlaştırıyor.
Bu uyarlanabilirlik, son araştırmalarda vurgulandığı gibi, fidye yazılımı grupları arasında daha geniş bir eğilimin parçasıdır. Cisco Talos'un açıklaması, Brain Cipher ve RansomHub gibi diğer fidye yazılımı türlerinin taktiklerini ayrıntılı olarak açıklayan Group-IB'nin bulgularıyla birlikte geliyor. BlackByte'a benzer şekilde bu gruplar, güvenlik önlemlerinin önünde kalmak için yeni programlama dilleri ve teknikleri benimseyerek yöntemlerini geliştirdiler.
Süregelen Tehdit
Profesyonel, bilimsel ve teknik hizmet sektörleri bu tür fidye yazılımı saldırılarına en çok maruz kalanlar arasındadır ve üretim ve eğitim hizmetleri de önemli risk altındadır. BlackByte ile mücadele için bazı çabalara rağmen (örneğin Trustwave'in Ekim 2021'de bir şifre çözücü yayınlaması gibi) grup, şifrelemeden önce veri sızdırma için ExByte gibi özel araçlar kullanarak operasyonlarını iyileştirmeye devam etti.
BlackByte ve diğer fidye yazılımı gruplarının yeni ifşa edilen güvenlik açıklarını istismar etme hızı, oluşturdukları sürekli tehditin çarpıcı bir hatırlatıcısıdır. Tekniklerini uyarlamaya ve geliştirmeye devam ederken, kuruluşlar uyanık kalmalı, sistemlerinin derhal yamalandığından ve güvenlik önlemlerinin bu gelişen saldırılara karşı koyacak kadar sağlam olduğundan emin olmalıdır.
Son Düşünceler
BlackByte'ın son saldırı dalgası, proaktif siber güvenlik önlemlerinin önemini vurguluyor. BlackByte gibi fidye yazılımı grupları yeni güvenlik açıklarından ve tekniklerden yararlanarak gelişmeye devam ettikçe, kuruluşlar kritik altyapılarını korumak için eğrinin önünde kalmalıdır. Fidye yazılımına karşı mücadele henüz bitmedi ve bilgili kalmak dijital varlıklarınızı korumanın ilk adımıdır.