BlackByte Ransomware використовує недолік VMware ESXi, запускаючи нову хвилю кіберзагроз
Група програм-вимагачів BlackByte повертається, і цього разу вони використовують нещодавно виправлену вразливість у гіпервізорах VMware ESXi, викликаючи тривогу в системі кібербезпеки. Група, сумно відома своєю моделлю програми-вимагача як послуга (RaaS), використала цей недолік (CVE-2024-37085) для компрометації систем, що позначає значну еволюцію в їхній стратегії атак.
Зміст
Експлуатація VMware ESXi: небезпечна зміна
Під час недавньої хвилі атак було помічено, що BlackByte використовує вразливість обходу автентифікації у VMware ESXi, яка дозволяє зловмисникам отримати права адміністратора на гіпервізор. Ця вразливість, CVE-2024-37085, була використана різними групами програм-вимагачів, але її використання BlackByte свідчить про небезпечний поворот у їхній тактиці. Використовуючи цей недолік, зловмисники змогли підвищити привілеї, отримати несанкціонований доступ до системних журналів і контролювати віртуальні машини (VM).
Така експлуатація загальнодоступних уразливостей для початкового доступу не нова для BlackByte. Однак останній перехід до використання VPN-доступу, який, ймовірно, отриманий шляхом грубої атаки, підкреслює їхній адаптивний підхід. Використовуючи дійсні облікові дані для доступу до VPN жертви, BlackByte вдалося зменшити видимість систем виявлення та реагування на кінцеві точки організації (EDR), зробивши їхні атаки ще більш прихованими.
Роль вразливих драйверів у вимкненні безпеки
Ключовим компонентом стратегії атаки BlackByte є використання вразливих драйверів для зняття засобів захисту, технологія, відома як «принесіть свій власний вразливий драйвер» (BYOVD). Під час останньої атаки BlackByte розгорнув кілька вразливих драйверів, зокрема RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys і gdrv.sys, щоб припинити процеси безпеки та обійти елементи керування. Цей метод виявився дуже ефективним для уникнення виявлення, дозволяючи програмі-вимагачу швидко поширюватися мережами.
Еволюція методів програм-вимагачів
Перехід BlackByte від використання C# до Go, а тепер до C/C++ у їх шифраторі програм-вимагачів відображає цілеспрямовані зусилля щодо підвищення стійкості шкідливих програм до виявлення та аналізу. Остання версія, BlackByteNT, містить передові методи антианалізу та антидебагінгу, що ускладнює протидію загрозам фахівцям із кібербезпеки.
Ця адаптивність є частиною ширшої тенденції серед груп програм-вимагачів, як підкреслюють останні дослідження. Розкриття інформації від Cisco Talos відбувається разом із висновками Group-IB, які детально описують тактику інших штамів програм-вимагачів, таких як Brain Cipher і RansomHub. Ці групи, подібно до BlackByte, розвинули свої методи, запровадивши нові мови програмування та методи, щоб випереджати заходи безпеки.
Постійна загроза
Сектори професійних, наукових і технічних послуг є одними з найбільш уразливих до цих типів атак програм-вимагачів, а виробництво та освітні послуги також піддаються значному ризику. Незважаючи на певні зусилля по боротьбі з BlackByte, як-от випуск дешифратора Trustwave у жовтні 2021 року, група продовжувала вдосконалювати свої операції, використовуючи спеціальні інструменти, такі як ExByte, для викрадання даних перед шифруванням.
Швидкість, з якою BlackByte та інші групи програм-вимагачів використовують нещодавно виявлені вразливості, є яскравим нагадуванням про постійну загрозу, яку вони становлять. Продовжуючи адаптувати та вдосконалювати свої методи, організації повинні залишатися пильними, забезпечуючи швидке оновлення своїх систем і надійність заходів безпеки, щоб протистояти таким атакам, що розвиваються.
Заключні думки
Остання хвиля атак BlackByte підкреслює важливість проактивних заходів кібербезпеки. Оскільки групи програм-вимагачів, такі як BlackByte, продовжують розвиватися, використовуючи нові вразливості та методи, організації повинні залишатися на випередженні, щоб захистити свою критичну інфраструктуру. Боротьба з програмами-вимагачами далека від завершення, і бути в курсі — це перший крок до захисту ваших цифрових активів.