Nenhum comentário

Ransomware BlackByte explora uma falha do VMware ESXi

 

O grupo de ransomware BlackByte foi observado provavelmente explorando uma falha de segurança recentemente corrigida em hipervisores VMware ESXi, ao mesmo tempo em que usava drivers vulneráveis ​​para desabilitar proteções de segurança.

“O grupo de ransomware BlackByte continua a alavancar táticas, técnicas e procedimentos (TTPs) que formaram a base de sua arte comercial desde seu início, iterando continuamente seu uso de drivers vulneráveis ​​para contornar proteções de segurança e implantando um criptografador de ransomware autopropagante e wormable”, de acordo com um relatório técnico

da Cisco Talos
A exploração de CVE-2024-37085, uma vulnerabilidade de bypass de autenticação no VMware ESXi, que também foi alvo de outros grupos de ransomware, indica que a BlackByte está mudando de métodos tradicionais.

Aparecendo pela primeira vez no segundo semestre de 2021, acredita-se que o BlackByte seja uma das variantes de ransomware que surgiram antes da notória equipe de ransomware Conti se desfazer.

Como uma operação de ransomware como serviço (RaaS), o BlackByte tem um histórico de exploração de vulnerabilidades do ProxyShell no Microsoft Exchange Server para obter acesso inicial, enquanto evita sistemas que usam russo e vários idiomas do Leste Europeu.

Como outros grupos RaaS, ele emprega dupla extorsão, usando um site de vazamento de dados da dark web para pressionar as vítimas a pagar, ameaçando expordados roubados. Até o momento, várias variantes do BlackByte, escritas em C, .NET e Go, foram observadas na natureza.

Embora um descriptografador para BlackByte tenha sido lançado pela Trustwave em outubro de 2021, o grupo continuou a evoluir suas táticas, até mesmo desenvolvendo uma ferramenta personalizada chamada ExByte para exfiltração de dados antes do início da criptografia.

No início de 2022, o governo dos EUA emitiu um aviso atribuindo ao grupo RaaS ataques motivados financeiramente em setores de infraestrutura crítica, incluindo finanças, agricultura e instalações governamentais.

Um aspecto fundamental dos ataques do BlackByte é o uso de drivers vulneráveis ​​para encerrar processos de segurança e ignorar controles, um método conhecido como traga seu próprio driver vulnerável (BYOVD).

O Cisco Talos, que investigou um ataque recente do BlackByte, observou que a violação provavelmente foi facilitada por credenciais válidas usadas para acessar a VPN da vítima, possivelmente obtidas por meio de ataques de força bruta.

“Dado o histórico da BlackByte de explorar vulnerabilidades públicas para acesso inicial, o uso de VPN para acesso remoto pode representar uma ligeira mudança na técnica ou pode ser oportunista”, disseram os pesquisadores de segurança James Nutland, Craig Jackson, Terryn Valikodath e Brennan Evans. “Além disso, usar a VPN da vítima oferece ao adversário outros benefícios, como detecção reduzida pelo EDR da organização.”

BlackByte Ransomware

O agente da ameaça conseguiu escalar seus privilégios, usando as permissões obtidas para acessar o servidor VMware vCenter da organização e criar novas contas em um grupo do Active Directory chamado ESX Admins. De acordo com Talos, isso foi obtido explorando CVE-2024-37085, uma vulnerabilidade que permite que invasores obtenham privilégios de administrador no hipervisor criando um grupo com esse nome e adicionando qualquer usuário a ele.

Esse privilégio elevado pode então ser explorado para controlar máquinas virtuais (VMs), alterar a configuração do servidor host e obter acesso não autorizado a logs do sistema, diagnósticos e ferramentas de monitoramento de desempenho.

Talos enfatizou que a falha foi explorada poucos dias após sua divulgação pública, ilustrando a rapidez com que os agentes de ameaças adaptam suas táticas para incorporar vulnerabilidades recém-descobertas e aprimorar seus ataques.

Os recentes ataques BlackByte também culminaram em arquivos criptografados e reescritos com a extensão de arquivo “blackbytent_h”. O criptografador também derrubou quatro drivers vulneráveis ​​como parte do ataque BYOVD, todos seguindo uma convenção de nomenclatura semelhante de oito caracteres alfanuméricos aleatórios seguidos por um sublinhado e um número incremental:

  • AM35W2PH (RtCore64.sys)
  • AM35W2PH_1 (DBUtil_2_3.sys)
  • AM35W2PH_2 (zamguard64.sys também conhecido como Terminator)
  • AM35W2PH_3 (gdrv.sys)

Os setores de serviços profissionais, científicos e técnicos enfrentam a maior exposição a esses drivers vulneráveis, respondendo por 15% do total, seguidos pelos setores de manufatura (13%) e serviços educacionais (13%). Talos também avaliou que o agente da ameaça é provavelmente mais ativo do que o público sabe, com apenas uma estimativa de 20-30% das vítimas sendo relatadas publicamente, embora as razões para essa subnotificação permaneçam obscuras.

“A progressão do BlackByte em linguagens de programação de C# para Go e agora para C/C++ na versão mais recente de seu criptografador, BlackByteNT, reflete um esforço calculado para fortalecer a resiliência do malware contra detecção e análise”, observaram os pesquisadores.

“Linguagens complexas como C/C++ permitem a integração de técnicas avançadas de antianálise e antidepuração, que foram observadas em todas as ferramentas da BlackByte durante análises detalhadas por outros pesquisadores de segurança.”

Esta divulgação ocorre enquanto o Group-IB detalha as táticas de duas outras cepas de ransomware, Brain Cipher e RansomHub, destacando possíveis conexões entre Brain Cipher e outros grupos de ransomware como EstateRansomware, SenSayQ e RebornRansomware.

“Existem semelhanças estilísticas e de conteúdo entre as notas de resgate de Brain Cipher e SenSayQ ransomware”, observou a empresa de segurança cibernética de Cingapura. “Os sites TOR para Brain Cipher e SenSayQ também compartilham tecnologias e scripts semelhantes.”

Em contraste, o RansomHub foi observado recrutando ex-afiliados do Scattered Spider, um detalhe que surgiu no mês passado. A maioria dos ataques foi direcionada aos setores de saúde, finanças e governo nos EUA, Brasil, Itália, Espanha e Reino Unido.

“Para acesso inicial, os afiliados normalmente compram contas de domínio válidas comprometidas de Initial Access Brokers (IABs) e exploram serviços remotos externos”, afirmou o Group-IB , explicando ainda que “essas contas foram obtidas usando o ladrão LummaC2.”

As táticas do RansomHub envolvem o uso de contas de domínio comprometidas e VPNs públicas para acesso inicial, seguido por exfiltração de dados e criptografia extensiva. O lançamento recente de um programa de afiliados RaaS e a demanda por altos pagamentos de resgate ressaltam sua abordagem cada vez mais agressiva e evolutiva.

 


Fonte: TheHackerNews

Você pode gostar também