BlackByte 勒索軟體利用 VMware ESXi 缺陷發起新一波網路威脅

BlackByte 勒索軟體組織捲土重來，這次，他們利用 VMware ESXi 虛擬機器管理程式中新修補的漏洞，在整個網路安全領域敲響了警鐘。該組織以其勒索軟體即服務 (RaaS) 模型而臭名昭著，利用此缺陷 (CVE-2024-37085) 來破壞系統，標誌著其攻擊策略的重大演變。

利用 VMware ESXi：危險的轉變

在最近的攻擊浪潮中，BlackByte 被發現利用 VMware ESXi 中的身份驗證繞過漏洞，該漏洞允許攻擊者獲得虛擬機器管理程式的管理員權限。這個漏洞 CVE-2024-37085 已被各種勒索軟體團體利用，但 BlackByte 對它的使用標誌著他們的策略出現了危險的轉變。透過利用此缺陷，威脅參與者能夠升級權限、獲得對系統日誌的未經授權的存取並控制虛擬機器 (VM)。

對於 BlackByte 來說，利用面向公眾的漏洞進行初步訪問並不新鮮。然而，他們最近轉向使用 VPN 存取（可能是透過暴力攻擊獲得的），凸顯了他們的自適應方法。透過利用有效憑證存取受害者的 VPN，BlackByte 成功降低了組織端點偵測和回應 (EDR) 系統的可見性，使他們的攻擊更加隱密。

易受攻擊的驅動程式在禁用安全性方面的作用

BlackByte 攻擊策略的關鍵組成部分涉及使用易受攻擊的驅動程式來解除安全保護，這種技術稱為「自帶易受攻擊的驅動程式」(BYOVD)。在最新的攻擊中，BlackByte 部署了多個易受攻擊的驅動程序，包括 RtCore64.sys、DBUtil_2_3.sys、zamguard64.sys 和 gdrv.sys，以終止安全進程並繞過控制。事實證明，這種方法可以非常有效地逃避偵測，從而使勒索軟體能夠在網路中快速傳播。

勒索軟體技術的演變

BlackByte 在其勒索軟體加密器中從使用 C# 到 Go，再到現在的 C/C++，反映出其有意增強惡意軟體針對偵測和分析的彈性。最新版本 BlackByteNT 融合了先進的反分析和反調試技術，使網路安全專業人員應對威脅更具挑戰性。

正如最近的研究所強調的那樣，這種適應性是勒索軟體團體更廣泛趨勢的一部分。 Cisco Talos 的揭露與 Group-IB 的調查結果同時發布，後者詳細介紹了 Brain Cipher 和 RansomHub 等其他勒索軟體的策略。這些組織與 BlackByte 類似，不斷發展自己的方法，採用新的程式語言和技術來保持領先的安全措施。

持續的威脅

專業、科學和技術服務業最容易受到此類勒索軟體攻擊，製造和教育服務也面臨重大風險。儘管為打擊 BlackByte 做出了一些努力，例如 Trustwave 在 2021 年 10 月發布了解密器，但該組織仍在繼續完善其操作，在加密之前使用 ExByte 等自訂工具進行資料外洩。

BlackByte 和其他勒索軟體組織利用新揭露的漏洞的速度清楚地提醒人們它們所構成的威脅始終存在。隨著他們不斷調整和完善其技術，組織必須保持警惕，確保其係統得到及時修補，並且安全措施足夠強大以應對這些不斷演變的攻擊。

最後的想法

BlackByte 的最新攻擊浪潮凸顯了主動網路安全措施的重要性。隨著 BlackByte 等勒索軟體組織不斷發展，利用新的漏洞和技術，組織必須保持領先地位以保護其關鍵基礎設施。對抗勒索軟體的戰鬥還遠未結束，及時了解情況是保護您的數位資產的第一步。