BlackByte Ransomware khai thác lỗ hổng VMware ESXi, phát động làn sóng đe dọa mạng mới
Nhóm ransomware BlackByte đã quay trở lại và lần này, chúng khai thác một lỗ hổng mới được vá trong trình quản lý ảo VMware ESXi, gây báo động trên toàn cảnh an ninh mạng. Nhóm này, khét tiếng với mô hình ransomware-as-a-service (RaaS), đã lợi dụng lỗ hổng này (CVE-2024-37085) để xâm phạm hệ thống, đánh dấu sự phát triển đáng kể trong chiến lược tấn công của chúng.
Mục lục
Khai thác VMware ESXi: Một sự thay đổi nguy hiểm
Trong một đợt tấn công gần đây, BlackByte đã bị phát hiện khai thác lỗ hổng bỏ qua xác thực trong VMware ESXi, cho phép kẻ tấn công giành được quyền quản trị viên trên trình quản lý ảo. Lỗ hổng này, CVE-2024-37085, đã được nhiều nhóm ransomware lợi dụng, nhưng việc BlackByte sử dụng nó báo hiệu một bước ngoặt nguy hiểm trong chiến thuật của chúng. Bằng cách khai thác lỗ hổng này, những kẻ tấn công có thể leo thang quyền, giành quyền truy cập trái phép vào nhật ký hệ thống và kiểm soát máy ảo (VM).
Việc khai thác các lỗ hổng công khai để truy cập ban đầu này không phải là điều mới đối với BlackByte. Tuy nhiên, sự thay đổi gần đây của họ sang sử dụng quyền truy cập VPN, có khả năng đạt được thông qua các cuộc tấn công brute-force, làm nổi bật cách tiếp cận thích ứng của họ. Bằng cách tận dụng thông tin xác thực hợp lệ để truy cập VPN của nạn nhân, BlackByte đã cố gắng giảm khả năng hiển thị từ các hệ thống phát hiện và phản hồi điểm cuối (EDR) của tổ chức, khiến các cuộc tấn công của họ thậm chí còn bí mật hơn.
Vai trò của người lái xe dễ bị tổn thương trong việc vô hiệu hóa bảo mật
Một thành phần chính trong chiến lược tấn công của BlackByte liên quan đến việc sử dụng các trình điều khiển dễ bị tấn công để vô hiệu hóa các biện pháp bảo vệ an ninh, một kỹ thuật được gọi là "mang theo trình điều khiển dễ bị tấn công của riêng bạn" (BYOVD). Trong cuộc tấn công mới nhất của mình, BlackByte đã triển khai nhiều trình điều khiển dễ bị tấn công, bao gồm RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys và gdrv.sys, để chấm dứt các quy trình bảo mật và bỏ qua các biện pháp kiểm soát. Phương pháp này đã được chứng minh là rất hiệu quả trong việc trốn tránh phát hiện, cho phép ransomware lây lan nhanh chóng trên các mạng.
Sự tiến hóa trong các kỹ thuật Ransomware
Sự tiến triển của BlackByte từ việc sử dụng C# đến Go, và bây giờ là C/C++, trong trình mã hóa ransomware của họ phản ánh nỗ lực có chủ đích nhằm tăng cường khả năng phục hồi của phần mềm độc hại trước sự phát hiện và phân tích. Phiên bản mới nhất, BlackByteNT, kết hợp các kỹ thuật chống phân tích và chống gỡ lỗi tiên tiến, khiến các chuyên gia an ninh mạng khó khăn hơn trong việc chống lại mối đe dọa.
Khả năng thích ứng này là một phần của xu hướng rộng hơn giữa các nhóm ransomware, như được nêu bật trong nghiên cứu gần đây. Tiết lộ từ Cisco Talos đi kèm với những phát hiện từ Group-IB, trong đó nêu chi tiết về chiến thuật của các chủng ransomware khác như Brain Cipher và RansomHub. Các nhóm này, tương tự như BlackByte, đã phát triển các phương pháp của họ, áp dụng các ngôn ngữ lập trình và kỹ thuật mới để đi trước các biện pháp bảo mật.
Mối đe dọa đang diễn ra
Các lĩnh vực dịch vụ chuyên nghiệp, khoa học và kỹ thuật nằm trong số những lĩnh vực dễ bị tấn công bằng loại ransomware này nhất, trong khi các dịch vụ sản xuất và giáo dục cũng có nguy cơ đáng kể. Mặc dù có một số nỗ lực chống lại BlackByte—chẳng hạn như việc Trustwave phát hành trình giải mã vào tháng 10 năm 2021—nhóm này vẫn tiếp tục tinh chỉnh hoạt động của mình, sử dụng các công cụ tùy chỉnh như ExByte để trích xuất dữ liệu trước khi mã hóa.
Tốc độ mà BlackByte và các nhóm ransomware khác khai thác các lỗ hổng mới được tiết lộ là lời nhắc nhở rõ ràng về mối đe dọa thường trực mà chúng gây ra. Khi chúng tiếp tục thích nghi và tinh chỉnh các kỹ thuật của mình, các tổ chức phải luôn cảnh giác, đảm bảo hệ thống của họ được vá kịp thời và các biện pháp bảo mật đủ mạnh để chống lại các cuộc tấn công đang phát triển này.
Suy nghĩ cuối cùng
Làn sóng tấn công mới nhất của BlackByte nhấn mạnh tầm quan trọng của các biện pháp an ninh mạng chủ động. Khi các nhóm ransomware như BlackByte tiếp tục phát triển, tận dụng các lỗ hổng và kỹ thuật mới, các tổ chức phải đi trước một bước để bảo vệ cơ sở hạ tầng quan trọng của mình. Cuộc chiến chống lại ransomware vẫn chưa kết thúc và việc cập nhật thông tin là bước đầu tiên để bảo vệ tài sản kỹ thuật số của bạn.