Πιστεύεται ότι η ransomware συμμορία BlackByte εκμεταλλεύεται τώρα μια ευπάθεια ασφαλείας που επιδιορθώθηκε πρόσφατα και επηρεάζει VMware ESXi hypervisors. Ταυτόχρονα, οι hackers αξιοποιούν διάφορα ευάλωτα προγράμματα drivers για να παρακάμψουν μέτρα προστασίας.
Σύμφωνα με μια έκθεση της Cisco Talos (που παρακολουθεί τις δραστηριότητες της ομάδας) πολλές συμμορίες ransomware έχουν εκμεταλλευτεί την ευπάθεια παράκαμψης ελέγχου ταυτότητας CVE-2024-37085 για τις επιθέσεις τους.
Η BlackByte εμφανίστηκε το δεύτερο εξάμηνο του 2021. Στο παρελθόν, έχει χρησιμοποιήσει και άλλες ευπάθειες, όπως την ProxyShell σε Microsoft Exchange Server. Όπως και οι περισσότερες ομάδες ransomware, έτσι και η BlackByte υιοθετεί την τακτική του διπλού εκβιασμού. Οι hackers κλέβουν δεδομένα από τα παραβιασμένα συστήματα και στη συνέχεια τα κρυπτογραφούν. Αν τα θύματα δεν θέλουν να πληρώσουν λύτρα για την αποκρυπτογράφηση, οι hackers απειλούν να διαρρεύσουν τα κλεμμένα δεδομένα.
Τον Οκτώβριο του 2021, η Trustwave κυκλοφόρησε ένα εργαλείο αποκρυπτογράφησης για το BlackByte ransomware, αλλά η ομάδα έχει βελτιώσει τον τρόπο λειτουργίας της και χρησιμοποιεί και ένα custom εργαλείο που ονομάζεται ExByte για εξαγωγή δεδομένων.
Δείτε επίσης: Qilin ransomware: Κλέβει credentials από τον Chrome browser
Η ομάδα στοχεύει κρίσιμες υποδομές, συμπεριλαμβανομένων χρηματοοικονομικών υπηρεσιών, καθώς και τομέων όπως τα τρόφιμα, η γεωργία και οι κρατικές εγκαταστάσεις.
Μία από τις σημαντικές πτυχές των επιθέσεων της ομάδας BlackByte είναι η χρήση ευάλωτων drivers για τον τερματισμό των διαδικασιών ασφαλείας και την παράκαμψη των ελέγχων.
Η Cisco Talos, η οποία διερεύνησε μια πρόσφατη επίθεση της ransomware συμμορίας BlackByte, είπε ότι η εισβολή πιθανότατα διευκολύνθηκε χρησιμοποιώντας έγκυρα credentials για πρόσβαση στο VPN του οργανισμού-θύματος. Πιστεύεται ότι η αρχική πρόσβαση αποκτήθηκε μέσω επίθεσης brute-force.
“Δεδομένης της συνήθειας της BlackByte να εκμεταλλεύεται ευπάθειες για αρχική πρόσβαση, η χρήση του VPN για απομακρυσμένη πρόσβαση μπορεί να αντιπροσωπεύει μια μικρή αλλαγή στην τεχνική“, δήλωσαν οι ερευνητές ασφαλείας James Nutland, Craig Jackson, Terryn Valikodath και Brennan Evans. “Η χρήση του VPN του θύματος για απομακρυσμένη πρόσβαση παρέχει επίσης στον αντίπαλο άλλα πλεονεκτήματα, συμπεριλαμβανομένης της μειωμένης ορατότητας από το EDR του οργανισμού“.
Δείτε επίσης: QNAP QTS 5.2: Νέες δυνατότητες προστασίας από ransomware
Στη συνέχεια, οι επιτιθέμενοι κατάφεραν να αποκτήσουν περισσότερα προνόμια, χρησιμοποιώντας τα δικαιώματα πρόσβασης στον VMware vCenter server του οργανισμού για να δημιουργήσουν και να προσθέσουν νέους λογαριασμούς σε μια ομάδα Active Directory που ονομάζεται ESX Admins. Σύμφωνα με την Cisco Talos, αυτό έγινε με την εκμετάλλευση της ευπάθειας CVE-2024-37085, που επιτρέπει σε έναν εισβολέα να αποκτήσει δικαιώματα διαχειριστή στον hypervisor δημιουργώντας μια ομάδα με αυτό το όνομα και προσθέτοντας οποιονδήποτε χρήστη σε αυτή.
Έπειτα, η ransomware ομάδα BlackByte μπορεί να ελέγξει virtual machines (VM), να τροποποιήσει τη διαμόρφωση του host server και να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε αρχεία καταγραφής συστήματος, διαγνωστικά και εργαλεία και άλλα.
Οι ερευνητές παρατήρησαν ότι οι hackers εκμεταλλεύτηκαν την ευπάθεια εντός λίγων ημερών από τη δημόσια αποκάλυψη, υπογραμμίζοντας την ταχύτητα με την οποία οι φορείς απειλών τελειοποιούν τις τακτικές τους.
Δείτε επίσης: Ransomware 2024: Οι πληρωμές λύτρων έφτασαν τα $ 459 εκατ.
Επιπλέον, οι πρόσφατες επιθέσεις BlackByte κορυφώνονται με τα κρυπτογραφημένα αρχεία να ξαναγράφονται με την επέκταση αρχείου “blackbytent_h“, με τον κρυπτογράφηση να εγκαθιστά επίσης τέσσερα ευάλωτα drivers ως μέρος της επίθεσης.
Ως απάντηση σε αυτές τις απειλές, οι οργανισμοί καλούνται να διασφαλίσουν ότι τα συστήματά τους είναι ενημερωμένα με τις πιο πρόσφατες ενημερώσεις ασφαλείας. Επιπλέον, η εφαρμογή ισχυρών μέτρων ασφαλείας, όπως η τμηματοποίηση δικτύου και τα τακτικά αντίγραφα ασφαλείας, μπορεί να βοηθήσει στον μετριασμό των κινδύνων που σχετίζονται με επιθέσεις ransomware. Η εκπαίδευση των εργαζομένων για την αναγνώριση απόπειρων phishing και ύποπτων δραστηριοτήτων είναι ζωτικής σημασίας, καθώς μπορεί να μειώσει σημαντικά την πιθανότητα επιτυχών εισβολών.
Εν ολίγοις, η διατήρηση μιας προληπτικής στάσης ασφαλείας είναι απαραίτητη για την άμυνα έναντι των εξελισσόμενων τακτικών που χρησιμοποιούνται από παράγοντες απειλών όπως η ransomware ομάδα BlackByte. Είναι επίσης ζωτικής σημασίας για τους οργανισμούς να διαθέτουν σχέδια αντιμετώπισης περιστατικών και να διενεργούν τακτικά ελέγχους ασφαλείας για τον εντοπισμό πιθανών τρωτών σημείων και την έγκαιρη αντιμετώπισή τους.
Πηγή: thehackernews.com
