Se ha observado que los actores de amenazas detrás del grupo ransomware BlackByte probablemente explotan una falla de seguridad recientemente parcheada que afecta a los hipervisores VMware ESXi, al tiempo que aprovechan varios controladores vulnerables para desarmar las protecciones de seguridad.
«El grupo de ransomware BlackByte continúa aprovechando las tácticas, técnicas y procedimientos (TTP) que han formado la base de su oficio desde sus inicios, iterando continuamente su uso de controladores vulnerables para eludir las protecciones de seguridad e implementando un cifrador de ransomware autopropagable y gusanoble», dijo Cisco Talos en un comunicado técnico. informe compartido con The Hacker News.
La explotación de CVE-2024-37085, una vulnerabilidad de evasión de autenticación en VMware ESXi que también ha sido utilizada como arma por otros grupos de ransomware, es una señal de que el grupo de delitos electrónicos está abandonando sus enfoques establecidos.
Byte negro hecho Su debut tuvo lugar en la segunda mitad de 2021 y se supone que es una de las variantes de ransomware que surgieron en los meses previos al cierre del infame grupo de ransomware Conti.
El grupo de ransomware como servicio (RaaS) tiene antecedentes de explotación ProxyShell vulnerabilidades en Microsoft Exchange Server para obtener acceso inicial, evitando al mismo tiempo sistemas que utilizan ruso y varios idiomas de Europa del Este.
Al igual que los grupos RaaS, también aprovecha doble extorsión Como parte de los ataques, se adoptó un enfoque de denuncia y denuncia a través de un sitio de filtración de datos operado en la red oscura para presionar a las víctimas a pagar. Varias variantes del ransomware, Escrito en C, .NET y Gohasta la fecha se han observado en estado salvaje.
Mientras que un descifrador Para BlackByte fue lanzado por Trustwave en octubre de 2021, el grupo ha seguido perfeccionando su modus operandi, llegando incluso al extremo de emplear una herramienta personalizada llamada Ex-byte para la exfiltración de datos antes de comenzar el cifrado.
Un aviso liberado A principios de 2022, el gobierno de Estados Unidos atribuyó al grupo RaaS ataques con motivaciones financieras dirigidos a sectores de infraestructura críticos, incluidos los financieros, los alimentos y la agricultura, y las instalaciones gubernamentales.
Uno de los aspectos importantes de sus ataques es el uso de controladores vulnerables para terminar procesos de seguridad y eludir controles, una técnica conocida como «traiga su propio controlador vulnerable» (BYOVD).
Cisco Talos, que investigó un reciente ataque de ransomware BlackByte, afirmó que la intrusión probablemente se facilitó mediante credenciales válidas para acceder a la VPN de la organización víctima. Se cree que el acceso inicial se obtuvo mediante un ataque de fuerza bruta.
«Teniendo en cuenta el historial de BlackByte de explotación de vulnerabilidades públicas para el acceso inicial, el uso de VPN para el acceso remoto puede representar un ligero cambio en la técnica o podría representar oportunismo», dijeron los investigadores de seguridad James Nutland, Craig Jackson, Terryn Valikodath y Brennan Evans. «El uso de la VPN de la víctima para el acceso remoto también ofrece al adversario otras ventajas, incluida una visibilidad reducida desde el EDR de la organización».
Posteriormente, el actor de amenazas logró aumentar sus privilegios, utilizando los permisos para acceder al servidor VMware vCenter de la organización para crear y agregar nuevas cuentas a un grupo de Active Directory llamado ESX Admins. Esto, según Talos, se hizo explotando CVE-2024-37085, que permite a un atacante obtener privilegios de administrador en el hipervisor creando un grupo con ese nombre y agregando a cualquier usuario.
Este privilegio podría luego usarse de forma abusiva para controlar máquinas virtuales (VM), modificar la configuración del servidor host y obtener acceso no autorizado a registros del sistema, diagnósticos y herramientas de monitoreo de rendimiento.
Talos señaló que la explotación de la falla tuvo lugar a los pocos días de su divulgación pública, lo que destaca la velocidad con la que los actores de amenazas perfeccionan sus tácticas para incorporar vulnerabilidades recientemente reveladas a su arsenal y avanzar en sus ataques.
Además, los recientes ataques de BlackByte culminaron con la reescritura de los archivos cifrados con la extensión de archivo «blackbytent_h», y el cifrador también dejó caer cuatro controladores vulnerables como parte del ataque BYOVD. Los cuatro controladores siguen una convención de nombres similar: ocho caracteres alfanuméricos aleatorios seguidos de un guión bajo y un valor numérico incremental.
- AM35W2PH (sistema RtCore64)
- AM35W2PH_1 (DBUtil_2_3.sys)
- AM35W2PH_2 (zamguard64.sys también conocido como Terminator)
- AM35W2PH_3 (sistema gdrv)
Los sectores de servicios profesionales, científicos y técnicos son los más expuestos a los factores de riesgo observados, ya que representan el 15% del total, seguidos de la industria manufacturera (13%) y los servicios educativos (13%). Talos también ha evaluado que el actor de la amenaza es probablemente más activo de lo que parece y que solo se estima que entre el 20% y el 30% de las víctimas se publican, aunque la razón exacta de esta disparidad sigue sin estar clara.
«La progresión de BlackByte en los lenguajes de programación desde C# a Go y posteriormente a C/C++ en el última versión de su encriptador – Byte negroNT – representa un esfuerzo deliberado para aumentar la resistencia del malware contra la detección y el análisis», dijeron los investigadores.
«Los lenguajes complejos como C/C++ permiten la incorporación de técnicas avanzadas de antianálisis y antidepuración, que se han observado en las herramientas de BlackByte durante análisis detallados realizados por otros investigadores de seguridad».
La revelación se produce cuando Group-IB desveló las tácticas asociadas con otras dos cepas de ransomware identificadas como Brain Cipher y RansomHub, lo que subraya las posibles conexiones de la primera con grupos de ransomware como EstateRansomware, SenSayQ y RebornRansomware.
«Hay similitudes en términos de estilo y contenido de la nota de rescate de Brain Cipher con las del ransomware SenSayQ», dijo la empresa de ciberseguridad de Singapur. dicho«Los sitios web TOR del grupo de ransomware Brain Cipher y del grupo de ransomware SenSayQ utilizan tecnologías y scripts similares».
Por otro lado, se ha observado que RansomHub recluta a antiguos afiliados de Scattered Spider, un detalle que salió a la luz por primera vez el mes pasado. La mayoría de los ataques se han dirigido a los sectores sanitario, financiero y gubernamental en Estados Unidos, Brasil, Italia, España y el Reino Unido.
«Para el acceso inicial, los afiliados generalmente compran cuentas de dominio válidas comprometidas de corredores de acceso inicial (IAB) y servicios remotos externos», dijo Group-IB dichoagregando que «las cuentas fueron adquiridas a través del ladrón LummaC2».
«Las tácticas de RansomHub incluyen el uso de cuentas de dominio comprometidas y VPN públicas para el acceso inicial, seguido de la exfiltración de datos y procesos de cifrado exhaustivos. Su reciente introducción de un programa de afiliados RaaS y el uso de pagos de rescates de alta demanda ilustran su enfoque agresivo y en evolución».