{"id":1337215,"date":"2024-08-28T13:49:36","date_gmt":"2024-08-28T13:49:36","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-ransomware-blackbyte-explota-una-falla-de-vmware-esxi-en-la-ultima-ola-de-ataques\/"},"modified":"2024-08-28T13:49:41","modified_gmt":"2024-08-28T13:49:41","slug":"el-ransomware-blackbyte-explota-una-falla-de-vmware-esxi-en-la-ultima-ola-de-ataques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-ransomware-blackbyte-explota-una-falla-de-vmware-esxi-en-la-ultima-ola-de-ataques\/","title":{"rendered":"El ransomware BlackByte explota una falla de VMware ESXi en la \u00faltima ola de ataques"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/El-ransomware-BlackByte-explota-una-falla-de-VMware-ESXi-en.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Se ha observado que los actores de amenazas detr\u00e1s del grupo ransomware BlackByte probablemente explotan una falla de seguridad recientemente parcheada que afecta a los hipervisores VMware ESXi, al tiempo que aprovechan varios controladores vulnerables para desarmar las protecciones de seguridad.<\/p>\n<p>&#8220;El grupo de ransomware BlackByte contin\u00faa aprovechando las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) que han formado la base de su oficio desde sus inicios, iterando continuamente su uso de controladores vulnerables para eludir las protecciones de seguridad e implementando un cifrador de ransomware autopropagable y gusanoble&#8221;, dijo Cisco Talos en un comunicado t\u00e9cnico. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/blackbyte-blends-tried-and-true-tradecraft-with-newly-disclosed-vulnerabilities-to-support-ongoing-attacks\/\" target=\"_blank\">informe<\/a> compartido con The Hacker News.<\/p>\n<p>La explotaci\u00f3n de CVE-2024-37085, una vulnerabilidad de evasi\u00f3n de autenticaci\u00f3n en VMware ESXi que tambi\u00e9n ha sido utilizada como arma por otros grupos de ransomware, es una se\u00f1al de que el grupo de delitos electr\u00f3nicos est\u00e1 abandonando sus enfoques establecidos.<\/p>\n<p>Byte negro <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/vinfo\/us\/security\/news\/ransomware-spotlight\/ransomware-spotlight-blackbyte\" target=\"_blank\">hecho<\/a> Su debut tuvo lugar en la segunda mitad de 2021 y se supone que es una de las variantes de ransomware que surgieron en los meses previos al cierre del infame grupo de ransomware Conti.<\/p>\n<p>El grupo de ransomware como servicio (RaaS) tiene antecedentes de explotaci\u00f3n <a rel=\"nofollow noopener\" href=\"https:\/\/redcanary.com\/blog\/threat-intelligence\/blackbyte-ransomware\/\" target=\"_blank\">ProxyShell<\/a> vulnerabilidades en Microsoft Exchange Server para obtener acceso inicial, evitando al mismo tiempo sistemas que utilizan ruso y varios idiomas de Europa del Este.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/inside-c-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/El-Departamento-de-Justicia-acusa-a-un-hombre-de-Nashville.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Al igual que los grupos RaaS, tambi\u00e9n aprovecha <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/blackbyte-ransomware\/\" target=\"_blank\">doble extorsi\u00f3n<\/a> Como parte de los ataques, se adopt\u00f3 un enfoque de denuncia y denuncia a trav\u00e9s de un sitio de filtraci\u00f3n de datos operado en la red oscura para presionar a las v\u00edctimas a pagar. Varias variantes del ransomware, <a rel=\"nofollow noopener\" href=\"https:\/\/www.zscaler.com\/blogs\/security-research\/analysis-blackbyte-ransomware-s-go-based-variants\" target=\"_blank\">Escrito en C, .NET y Go<\/a>hasta la fecha se han observado en estado salvaje.<\/p>\n<p>Mientras que un <a rel=\"nofollow noopener\" href=\"https:\/\/www.trustwave.com\/en-us\/resources\/blogs\/spiderlabs-blog\/blackbyte-ransomware-pt-1-in-depth-analysis\/\" target=\"_blank\">descifrador<\/a> Para BlackByte fue lanzado por Trustwave en octubre de 2021, el grupo ha seguido perfeccionando su modus operandi, llegando incluso al extremo de emplear una herramienta personalizada llamada <a rel=\"nofollow noopener\" href=\"https:\/\/blogs.blackberry.com\/en\/2022\/12\/blackbyte-ransomware-takes-an-extra-bite-using-double-extortion-methods\" target=\"_blank\">Ex-byte<\/a> para la exfiltraci\u00f3n de datos antes de comenzar el cifrado.<\/p>\n<p>Un aviso <a rel=\"nofollow noopener\" href=\"https:\/\/www.cisa.gov\/news-events\/alerts\/2022\/02\/15\/fbi-and-usss-release-advisory-blackbyte-ransomware\" target=\"_blank\">liberado<\/a> A principios de 2022, el gobierno de Estados Unidos atribuy\u00f3 al grupo RaaS ataques con motivaciones financieras dirigidos a sectores de infraestructura cr\u00edticos, incluidos los financieros, los alimentos y la agricultura, y las instalaciones gubernamentales.<\/p>\n<p>Uno de los aspectos importantes de sus ataques es el uso de controladores vulnerables para terminar procesos de seguridad y eludir controles, una t\u00e9cnica conocida como &#8220;traiga su propio controlador vulnerable&#8221; (BYOVD).<\/p>\n<p>Cisco Talos, que investig\u00f3 un reciente ataque de ransomware BlackByte, afirm\u00f3 que la intrusi\u00f3n probablemente se facilit\u00f3 mediante credenciales v\u00e1lidas para acceder a la VPN de la organizaci\u00f3n v\u00edctima. Se cree que el acceso inicial se obtuvo mediante un ataque de fuerza bruta.<\/p>\n<p>&#8220;Teniendo en cuenta el historial de BlackByte de explotaci\u00f3n de vulnerabilidades p\u00fablicas para el acceso inicial, el uso de VPN para el acceso remoto puede representar un ligero cambio en la t\u00e9cnica o podr\u00eda representar oportunismo&#8221;, dijeron los investigadores de seguridad James Nutland, Craig Jackson, Terryn Valikodath y Brennan Evans. &#8220;El uso de la VPN de la v\u00edctima para el acceso remoto tambi\u00e9n ofrece al adversario otras ventajas, incluida una visibilidad reducida desde el EDR de la organizaci\u00f3n&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/El-ransomware-BlackByte-explota-una-falla-de-VMware-ESXi-en.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/El-ransomware-BlackByte-explota-una-falla-de-VMware-ESXi-en.jpg\" alt=\"Ransomware BlackByte\" border=\"0\" data-original-height=\"935\" data-original-width=\"1600\" title=\"Ransomware BlackByte\"\/><\/a><\/div>\n<p>Posteriormente, el actor de amenazas logr\u00f3 aumentar sus privilegios, utilizando los permisos para acceder al servidor VMware vCenter de la organizaci\u00f3n para crear y agregar nuevas cuentas a un grupo de Active Directory llamado ESX Admins. Esto, seg\u00fan Talos, se hizo explotando CVE-2024-37085, que permite a un atacante obtener privilegios de administrador en el hipervisor creando un grupo con ese nombre y agregando a cualquier usuario.<\/p>\n<p>Este privilegio podr\u00eda luego usarse de forma abusiva para controlar m\u00e1quinas virtuales (VM), modificar la configuraci\u00f3n del servidor host y obtener acceso no autorizado a registros del sistema, diagn\u00f3sticos y herramientas de monitoreo de rendimiento.<\/p>\n<p>Talos se\u00f1al\u00f3 que la explotaci\u00f3n de la falla tuvo lugar a los pocos d\u00edas de su divulgaci\u00f3n p\u00fablica, lo que destaca la velocidad con la que los actores de amenazas perfeccionan sus t\u00e1cticas para incorporar vulnerabilidades recientemente reveladas a su arsenal y avanzar en sus ataques.<\/p>\n<p>Adem\u00e1s, los recientes ataques de BlackByte culminaron con la reescritura de los archivos cifrados con la extensi\u00f3n de archivo &#8220;blackbytent_h&#8221;, y el cifrador tambi\u00e9n dej\u00f3 caer cuatro controladores vulnerables como parte del ataque BYOVD. Los cuatro controladores siguen una convenci\u00f3n de nombres similar: ocho caracteres alfanum\u00e9ricos aleatorios seguidos de un gui\u00f3n bajo y un valor num\u00e9rico incremental.<\/p>\n<ul>\n<li>AM35W2PH (sistema RtCore64)<\/li>\n<li>AM35W2PH_1 (DBUtil_2_3.sys)<\/li>\n<li>AM35W2PH_2 (zamguard64.sys tambi\u00e9n conocido como Terminator)<\/li>\n<li>AM35W2PH_3 (sistema gdrv)<\/li>\n<\/ul>\n<p>Los sectores de servicios profesionales, cient\u00edficos y t\u00e9cnicos son los m\u00e1s expuestos a los factores de riesgo observados, ya que representan el 15% del total, seguidos de la industria manufacturera (13%) y los servicios educativos (13%). Talos tambi\u00e9n ha evaluado que el actor de la amenaza es probablemente m\u00e1s activo de lo que parece y que solo se estima que entre el 20% y el 30% de las v\u00edctimas se publican, aunque la raz\u00f3n exacta de esta disparidad sigue sin estar clara.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/cis-image-hn\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1723190360_817_El-Departamento-de-Justicia-acusa-a-un-hombre-de-Nashville.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>&#8220;La progresi\u00f3n de BlackByte en los lenguajes de programaci\u00f3n desde C# a Go y posteriormente a C\/C++ en el <a rel=\"nofollow noopener\" href=\"https:\/\/www.duskrise.com\/2023\/05\/22\/back-in-black-blackbyte-ransomware-returns-with-its-new-technology-nt-version\/\" target=\"_blank\">\u00faltima versi\u00f3n<\/a> de su encriptador \u2013 <a rel=\"nofollow noopener\" href=\"https:\/\/www.acronis.com\/en-us\/cyber-protection-center\/posts\/blackbyte-30-uses-vulnerable-drivers-to-compromise-systems\/\" target=\"_blank\">Byte negroNT<\/a> \u2013 representa un esfuerzo deliberado para aumentar la resistencia del malware contra la detecci\u00f3n y el an\u00e1lisis&#8221;, dijeron los investigadores.<\/p>\n<p>&#8220;Los lenguajes complejos como C\/C++ permiten la incorporaci\u00f3n de t\u00e9cnicas avanzadas de antian\u00e1lisis y antidepuraci\u00f3n, que se han observado en las herramientas de BlackByte durante an\u00e1lisis detallados realizados por otros investigadores de seguridad&#8221;.<\/p>\n<p>La revelaci\u00f3n se produce cuando Group-IB desvel\u00f3 las t\u00e1cticas asociadas con otras dos cepas de ransomware identificadas como Brain Cipher y RansomHub, lo que subraya las posibles conexiones de la primera con grupos de ransomware como EstateRansomware, SenSayQ y RebornRansomware.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1724852976_125_El-ransomware-BlackByte-explota-una-falla-de-VMware-ESXi-en.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/1724852976_125_El-ransomware-BlackByte-explota-una-falla-de-VMware-ESXi-en.png\" alt=\"\" border=\"0\" data-original-height=\"369\" data-original-width=\"728\"\/><\/a><\/div>\n<p>&#8220;Hay similitudes en t\u00e9rminos de estilo y contenido de la nota de rescate de Brain Cipher con las del ransomware SenSayQ&#8221;, dijo la empresa de ciberseguridad de Singapur. <a rel=\"nofollow noopener\" href=\"https:\/\/www.group-ib.com\/blog\/brain-cipher-ransomware\/\" target=\"_blank\">dicho<\/a>&#8220;Los sitios web TOR del grupo de ransomware Brain Cipher y del grupo de ransomware SenSayQ utilizan tecnolog\u00edas y scripts similares&#8221;.<\/p>\n<p>Por otro lado, se ha observado que RansomHub recluta a antiguos afiliados de Scattered Spider, un detalle que sali\u00f3 a la luz por primera vez el mes pasado. La mayor\u00eda de los ataques se han dirigido a los sectores sanitario, financiero y gubernamental en Estados Unidos, Brasil, Italia, Espa\u00f1a y el Reino Unido.<\/p>\n<p>&#8220;Para el acceso inicial, los afiliados generalmente compran cuentas de dominio v\u00e1lidas comprometidas de corredores de acceso inicial (IAB) y servicios remotos externos&#8221;, dijo Group-IB <a rel=\"nofollow noopener\" href=\"https:\/\/www.group-ib.com\/blog\/ransomhub-raas\/\" target=\"_blank\">dicho<\/a>agregando que &#8220;las cuentas fueron adquiridas a trav\u00e9s del ladr\u00f3n LummaC2&#8221;.<\/p>\n<p>&#8220;Las t\u00e1cticas de RansomHub incluyen el uso de cuentas de dominio comprometidas y VPN p\u00fablicas para el acceso inicial, seguido de la exfiltraci\u00f3n de datos y procesos de cifrado exhaustivos. Su reciente introducci\u00f3n de un programa de afiliados RaaS y el uso de pagos de rescates de alta demanda ilustran su enfoque agresivo y en evoluci\u00f3n&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/08\/blackbyte-ransomware-exploits-vmware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha observado que los actores de amenazas detr\u00e1s del grupo ransomware BlackByte probablemente explotan una falla de<\/p>\n","protected":false},"author":1,"featured_media":1337216,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,2346,4661,115342,4664,91758,6614,2503,4667,239182,4654,239508,4658,4659,4653,4024,4883,246983,4665,246984,1726,158,246982,34470,239484],"class_list":["post-1337215","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-blackbyte","tag-como-hackear","tag-esxi","tag-explota","tag-falla","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-ola","tag-ransomware","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-ultima","tag-una","tag-violacion-de-datos","tag-vmware","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1337215","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1337215"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1337215\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1337216"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1337215"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1337215"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1337215"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}