BlackByte-Ransomware nutzt VMware ESXi-Fehler aus und löst neue Welle von Cyberbedrohungen aus
Die BlackByte-Ransomware- Gruppe ist zurück und nutzt diesmal eine kürzlich gepatchte Schwachstelle in VMware ESXi-Hypervisoren aus, was in der gesamten Cybersicherheitslandschaft Alarm auslöst. Die Gruppe, die für ihr Ransomware-as-a-Service-Modell (RaaS) berüchtigt ist, hat diesen Fehler (CVE-2024-37085) ausgenutzt, um Systeme zu kompromittieren, was eine bedeutende Weiterentwicklung ihrer Angriffsstrategie darstellt.
Inhaltsverzeichnis
Ausnutzung von VMware ESXi: Eine gefährliche Verschiebung
Bei einer kürzlichen Angriffswelle wurde beobachtet, dass BlackByte eine Sicherheitslücke zur Umgehung der Authentifizierung in VMware ESXi ausnutzte, die es Angreifern ermöglicht, Administratorrechte auf dem Hypervisor zu erlangen. Diese Sicherheitslücke, CVE-2024-37085, wurde von verschiedenen Ransomware-Gruppen als Waffe eingesetzt, aber BlackBytes Verwendung dieser Sicherheitslücke deutet auf eine gefährliche Wende ihrer Taktik hin. Durch die Ausnutzung dieser Schwachstelle konnten die Bedrohungsakteure ihre Rechte erhöhen, unbefugten Zugriff auf Systemprotokolle erlangen und virtuelle Maschinen (VMs) steuern.
Diese Ausnutzung öffentlich zugänglicher Schwachstellen für den Erstzugriff ist für BlackByte nichts Neues. Ihr jüngster Wechsel zum VPN-Zugriff, der wahrscheinlich durch Brute-Force-Angriffe erlangt wurde, unterstreicht jedoch ihren adaptiven Ansatz. Durch die Nutzung gültiger Anmeldeinformationen für den Zugriff auf das VPN eines Opfers ist es BlackByte gelungen, die Sichtbarkeit der Endpoint Detection and Response (EDR)-Systeme des Unternehmens zu verringern und ihre Angriffe dadurch noch heimlicher zu gestalten.
Die Rolle anfälliger Treiber bei der Sicherheitsbeeinträchtigung
Ein Schlüsselelement der Angriffsstrategie von BlackByte ist die Verwendung anfälliger Treiber, um Sicherheitsvorkehrungen zu deaktivieren. Diese Technik wird als „Bring Your Own Vulnerable Driver“ (BYOVD) bezeichnet. Bei ihrem jüngsten Angriff setzte BlackByte mehrere anfällige Treiber ein, darunter RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys und gdrv.sys, um Sicherheitsprozesse zu beenden und Kontrollen zu umgehen. Diese Methode erwies sich als äußerst effektiv, um der Erkennung zu entgehen, und ermöglichte es der Ransomware, sich schnell in Netzwerken zu verbreiten.
Entwicklung der Ransomware-Techniken
BlackBytes Übergang von C# zu Go und jetzt zu C/C++ in seinem Ransomware-Verschlüsseler ist ein bewusster Versuch, die Widerstandsfähigkeit der Malware gegen Erkennung und Analyse zu verbessern. Die neueste Version, BlackByteNT, enthält erweiterte Anti-Analyse- und Anti-Debugging-Techniken, die es für Cybersicherheitsexperten schwieriger machen, der Bedrohung entgegenzuwirken.
Diese Anpassungsfähigkeit ist Teil eines breiteren Trends unter Ransomware-Gruppen, wie aktuelle Untersuchungen zeigen. Die Offenlegung von Cisco Talos geht einher mit Erkenntnissen von Group-IB, die die Taktiken anderer Ransomware-Stämme wie Brain Cipher und RansomHub detailliert beschrieben. Diese Gruppen haben, ähnlich wie BlackByte, ihre Methoden weiterentwickelt und neue Programmiersprachen und Techniken übernommen, um den Sicherheitsmaßnahmen immer einen Schritt voraus zu sein.
Die anhaltende Bedrohung
Die professionellen, wissenschaftlichen und technischen Dienstleistungssektoren gehören zu den Sektoren, die am stärksten von solchen Ransomware-Angriffen betroffen sind, wobei auch das produzierende Gewerbe und Bildungsdienste einem erheblichen Risiko ausgesetzt sind. Trotz einiger Bemühungen zur Bekämpfung von BlackByte – wie der Veröffentlichung eines Decryptors durch Trustwave im Oktober 2021 – hat die Gruppe ihre Operationen weiter verfeinert und setzt benutzerdefinierte Tools wie ExByte zur Datenexfiltration vor der Verschlüsselung ein.
Die Geschwindigkeit, mit der BlackByte und andere Ransomware-Gruppen neu entdeckte Schwachstellen ausnutzen, ist ein deutlicher Hinweis auf die allgegenwärtige Bedrohung, die sie darstellen. Während sie ihre Techniken ständig anpassen und verfeinern, müssen Unternehmen wachsam bleiben und sicherstellen, dass ihre Systeme umgehend gepatcht werden und dass die Sicherheitsmaßnahmen robust genug sind, um diesen sich entwickelnden Angriffen entgegenzuwirken.
Abschließende Gedanken
Die jüngste Angriffswelle von BlackByte unterstreicht die Bedeutung proaktiver Cybersicherheitsmaßnahmen. Da sich Ransomware-Gruppen wie BlackByte ständig weiterentwickeln und neue Schwachstellen und Techniken ausnutzen, müssen Unternehmen immer einen Schritt voraus sein, um ihre kritische Infrastruktur zu schützen. Der Kampf gegen Ransomware ist noch lange nicht vorbei, und informiert zu bleiben ist der erste Schritt zum Schutz Ihrer digitalen Assets.