BlackByte 勒索软件利用 VMware ESXi 漏洞发起新一轮网络威胁
BlackByte 勒索软件团伙又回来了,这一次,他们利用了 VMware ESXi 虚拟机管理程序中新修补的漏洞,引起了整个网络安全领域的警惕。该组织以其勒索软件即服务 (RaaS) 模式而臭名昭著,他们利用此漏洞 (CVE-2024-37085) 来入侵系统,标志着其攻击策略的重大演变。
目录
利用 VMware ESXi:危险的转变
在最近的一波攻击中,BlackByte 被发现利用 VMware ESXi 中的身份验证绕过漏洞,该漏洞允许攻击者获得虚拟机管理程序的管理员权限。此漏洞 CVE-2024-37085 已被各种勒索软件组织利用,但 BlackByte 对此漏洞的使用表明其策略发生了危险的转变。通过利用此漏洞,威胁行为者能够提升权限、获得对系统日志的未经授权的访问权限并控制虚拟机 (VM)。
利用面向公众的漏洞进行初始访问对 BlackByte 来说并不是什么新鲜事。然而,他们最近转向使用 VPN 访问(可能是通过暴力攻击获得的)凸显了他们的适应性方法。通过利用有效凭证访问受害者的 VPN,BlackByte 成功降低了该组织端点检测和响应 (EDR) 系统的可见性,使他们的攻击更加隐蔽。
易受攻击的驱动程序在破坏安全方面的作用
BlackByte 攻击策略的一个关键组成部分是使用易受攻击的驱动程序来解除安全保护,这种技术被称为“自带易受攻击的驱动程序”(BYOVD)。在他们最近的攻击中,BlackByte 部署了多个易受攻击的驱动程序,包括 RtCore64.sys、DBUtil_2_3.sys、zamguard64.sys 和 gdrv.sys,以终止安全进程并绕过控制。这种方法已被证明在逃避检测方面非常有效,使勒索软件能够在网络中迅速传播。
勒索软件技术的演变
BlackByte 在其勒索软件加密器中从使用 C# 到 Go,再到现在的 C/C++,这反映了他们刻意提高恶意软件对检测和分析的抵御能力。最新版本 BlackByteNT 采用了先进的反分析和反调试技术,使网络安全专业人员更难应对威胁。
这种适应性是勒索软件团体普遍趋势的一部分,最近的研究强调了这一点。思科 Talos 的披露与 Group-IB 的调查结果同时出现,后者详细介绍了 Brain Cipher 和 RansomHub 等其他勒索软件的策略。这些团体与 BlackByte 类似,已经改进了方法,采用了新的编程语言和技术,以保持领先于安全措施。
持续的威胁
专业、科学和技术服务行业最容易受到此类勒索软件攻击,制造业和教育服务业也面临巨大风险。尽管采取了一些打击 BlackByte 的措施(例如 Trustwave 在 2021 年 10 月发布了解密器),但该组织仍在继续改进其运营方式,在加密之前使用 ExByte 等定制工具进行数据泄露。
BlackByte 和其他勒索软件组织利用新披露的漏洞的速度之快,清楚地提醒人们它们构成的威胁无处不在。随着它们不断调整和改进技术,组织必须保持警惕,确保及时修补系统,并确保安全措施足够强大,以抵御这些不断演变的攻击。
最后的想法
BlackByte 的最新攻击浪潮凸显了主动网络安全措施的重要性。随着 BlackByte 等勒索软件团体不断发展,利用新的漏洞和技术,组织必须保持领先地位,以保护其关键基础设施。对抗勒索软件的战斗远未结束,保持知情是保护数字资产的第一步。