O grupo de ransomware BlackByte foi observado provavelmente explorando uma falha de segurança recentemente corrigida em hipervisores VMware ESXi, ao mesmo tempo em que usava drivers vulneráveis para desabilitar proteções de segurança.
“O grupo de ransomware BlackByte continua a alavancar táticas, técnicas e procedimentos (TTPs) que formaram a base de sua arte comercial desde seu início, iterando continuamente seu uso de drivers vulneráveis para contornar proteções de segurança e implantando um criptografador de ransomware autopropagante e wormable”, de acordo com um relatório técnico
da Cisco Talos
A exploração de CVE-2024-37085, uma vulnerabilidade de bypass de autenticação no VMware ESXi, que também foi alvo de outros grupos de ransomware, indica que a BlackByte está mudando de métodos tradicionais.
Aparecendo pela primeira vez no segundo semestre de 2021, acredita-se que o BlackByte seja uma das variantes de ransomware que surgiram antes da notória equipe de ransomware Conti se desfazer.
Como uma operação de ransomware como serviço (RaaS), o BlackByte tem um histórico de exploração de vulnerabilidades do ProxyShell no Microsoft Exchange Server para obter acesso inicial, enquanto evita sistemas que usam russo e vários idiomas do Leste Europeu.
Como outros grupos RaaS, ele emprega dupla extorsão, usando um site de vazamento de dados da dark web para pressionar as vítimas a pagar, ameaçando expordados roubados. Até o momento, várias variantes do BlackByte, escritas em C, .NET e Go, foram observadas na natureza.
Embora um descriptografador para BlackByte tenha sido lançado pela Trustwave em outubro de 2021, o grupo continuou a evoluir suas táticas, até mesmo desenvolvendo uma ferramenta personalizada chamada ExByte para exfiltração de dados antes do início da criptografia.
No início de 2022, o governo dos EUA emitiu um aviso atribuindo ao grupo RaaS ataques motivados financeiramente em setores de infraestrutura crítica, incluindo finanças, agricultura e instalações governamentais.
Um aspecto fundamental dos ataques do BlackByte é o uso de drivers vulneráveis para encerrar processos de segurança e ignorar controles, um método conhecido como traga seu próprio driver vulnerável (BYOVD).
O Cisco Talos, que investigou um ataque recente do BlackByte, observou que a violação provavelmente foi facilitada por credenciais válidas usadas para acessar a VPN da vítima, possivelmente obtidas por meio de ataques de força bruta.
“Dado o histórico da BlackByte de explorar vulnerabilidades públicas para acesso inicial, o uso de VPN para acesso remoto pode representar uma ligeira mudança na técnica ou pode ser oportunista”, disseram os pesquisadores de segurança James Nutland, Craig Jackson, Terryn Valikodath e Brennan Evans. “Além disso, usar a VPN da vítima oferece ao adversário outros benefícios, como detecção reduzida pelo EDR da organização.”
O agente da ameaça conseguiu escalar seus privilégios, usando as permissões obtidas para acessar o servidor VMware vCenter da organização e criar novas contas em um grupo do Active Directory chamado ESX Admins. De acordo com Talos, isso foi obtido explorando CVE-2024-37085, uma vulnerabilidade que permite que invasores obtenham privilégios de administrador no hipervisor criando um grupo com esse nome e adicionando qualquer usuário a ele.
Esse privilégio elevado pode então ser explorado para controlar máquinas virtuais (VMs), alterar a configuração do servidor host e obter acesso não autorizado a logs do sistema, diagnósticos e ferramentas de monitoramento de desempenho.
Talos enfatizou que a falha foi explorada poucos dias após sua divulgação pública, ilustrando a rapidez com que os agentes de ameaças adaptam suas táticas para incorporar vulnerabilidades recém-descobertas e aprimorar seus ataques.
Os recentes ataques BlackByte também culminaram em arquivos criptografados e reescritos com a extensão de arquivo “blackbytent_h”. O criptografador também derrubou quatro drivers vulneráveis como parte do ataque BYOVD, todos seguindo uma convenção de nomenclatura semelhante de oito caracteres alfanuméricos aleatórios seguidos por um sublinhado e um número incremental:
- AM35W2PH (RtCore64.sys)
- AM35W2PH_1 (DBUtil_2_3.sys)
- AM35W2PH_2 (zamguard64.sys também conhecido como Terminator)
- AM35W2PH_3 (gdrv.sys)
Os setores de serviços profissionais, científicos e técnicos enfrentam a maior exposição a esses drivers vulneráveis, respondendo por 15% do total, seguidos pelos setores de manufatura (13%) e serviços educacionais (13%). Talos também avaliou que o agente da ameaça é provavelmente mais ativo do que o público sabe, com apenas uma estimativa de 20-30% das vítimas sendo relatadas publicamente, embora as razões para essa subnotificação permaneçam obscuras.
“A progressão do BlackByte em linguagens de programação de C# para Go e agora para C/C++ na versão mais recente de seu criptografador, BlackByteNT, reflete um esforço calculado para fortalecer a resiliência do malware contra detecção e análise”, observaram os pesquisadores.
“Linguagens complexas como C/C++ permitem a integração de técnicas avançadas de antianálise e antidepuração, que foram observadas em todas as ferramentas da BlackByte durante análises detalhadas por outros pesquisadores de segurança.”
Esta divulgação ocorre enquanto o Group-IB detalha as táticas de duas outras cepas de ransomware, Brain Cipher e RansomHub, destacando possíveis conexões entre Brain Cipher e outros grupos de ransomware como EstateRansomware, SenSayQ e RebornRansomware.
“Existem semelhanças estilísticas e de conteúdo entre as notas de resgate de Brain Cipher e SenSayQ ransomware”, observou a empresa de segurança cibernética de Cingapura. “Os sites TOR para Brain Cipher e SenSayQ também compartilham tecnologias e scripts semelhantes.”
Em contraste, o RansomHub foi observado recrutando ex-afiliados do Scattered Spider, um detalhe que surgiu no mês passado. A maioria dos ataques foi direcionada aos setores de saúde, finanças e governo nos EUA, Brasil, Itália, Espanha e Reino Unido.
“Para acesso inicial, os afiliados normalmente compram contas de domínio válidas comprometidas de Initial Access Brokers (IABs) e exploram serviços remotos externos”, afirmou o Group-IB , explicando ainda que “essas contas foram obtidas usando o ladrão LummaC2.”
As táticas do RansomHub envolvem o uso de contas de domínio comprometidas e VPNs públicas para acesso inicial, seguido por exfiltração de dados e criptografia extensiva. O lançamento recente de um programa de afiliados RaaS e a demanda por altos pagamentos de resgate ressaltam sua abordagem cada vez mais agressiva e evolutiva.
Fonte: TheHackerNews