VietNetwork.Vn

Người ta đã quan sát thấy các tác nhân đe dọa đằng sau nhóm ransomware BlackByte có khả năng khai thác một lỗ hổng bảo mật được vá gần đây ảnh hưởng đến các trình ảo hóa VMware ESXi, đồng thời lợi dụng nhiều trình điều khiển dễ bị tổn thương khác nhau để vô hiệu hóa các biện pháp bảo vệ bảo mật.

"Nhóm ransomware BlackByte tiếp tục tận dụng các chiến thuật, kỹ thuật và quy trình (TTP) đã hình thành nền tảng cho hoạt động của nhóm kể từ khi thành lập, liên tục lặp lại việc sử dụng các trình điều khiển dễ bị tấn công để vượt qua các biện pháp bảo vệ an ninh và triển khai một bộ mã hóa ransomware có thể tự lan truyền, có thể bị sâu ", Cisco Talos cho biết trong một báo cáo kỹ thuật được chia sẻ với The Hacker News.


Việc khai thác CVE-2024-37085, một lỗ hổng vượt qua xác thực trong VMware ESXi cũng đã được các nhóm ransomware khác sử dụng làm vũ khí, là dấu hiệu cho thấy nhóm tội phạm điện tử đang chuyển hướng khỏi các phương pháp đã được thiết lập.

BlackByte xuất hiện lần đầu vào nửa cuối năm 2021 và được cho là một trong những biến thể ransomware đã xuất hiện trong những tháng trước khi nhóm ransomware Conti khét tiếng ngừng hoạt động.

Nhóm ransomware-as-a-service (RaaS) có lịch sử khai thác lỗ hổng ProxyShell trong Microsoft Exchange Server để có quyền truy cập ban đầu, đồng thời tránh các hệ thống sử dụng tiếng Nga và một số ngôn ngữ Đông Âu.

Giống như các nhóm RaaS, nó cũng tận dụng hành vi tống tiền kép như một phần của các cuộc tấn công, áp dụng cách tiếp cận nêu tên và xấu hổ thông qua một trang web rò rỉ dữ liệu được vận hành trên web đen để gây áp lực buộc nạn nhân phải trả tiền. Cho đến nay, nhiều biến thể của ransomware, được viết bằng C,.NET và Go, đã được quan sát thấy trong tự nhiên.

Mặc dù bộ giải mã cho BlackByte được Trustwave phát hành vào tháng 10 năm 2021, nhưng nhóm này vẫn tiếp tục tinh chỉnh phương thức hoạt động của mình, thậm chí còn sử dụng một công cụ tùy chỉnh có tên ExByte để lọc dữ liệu trước khi bắt đầu mã hóa.

Một lời khuyên do chính phủ Hoa Kỳ đưa ra vào đầu năm 2022 cho rằng nhóm RaaS thực hiện các cuộc tấn công có động cơ tài chính nhắm vào các lĩnh vực cơ sở hạ tầng quan trọng, bao gồm tài chính, thực phẩm và nông nghiệp cũng như các cơ sở chính phủ.

Một trong những khía cạnh quan trọng trong các cuộc tấn công của họ là việc sử dụng các trình điều khiển dễ bị tấn công để chấm dứt các quy trình bảo mật và bỏ qua các biện pháp kiểm soát, một kỹ thuật được gọi là mang trình điều khiển dễ bị tấn công của riêng bạn ( BYOVD ).

Cisco Talos, cơ quan điều tra vụ tấn công ransomware BlackByte gần đây, cho biết cuộc xâm nhập có thể được tạo điều kiện thuận lợi bằng cách sử dụng thông tin xác thực hợp lệ để truy cập VPN của tổ chức nạn nhân. Người ta tin rằng quyền truy cập ban đầu có được thông qua một cuộc tấn công vũ phu.

Các nhà nghiên cứu bảo mật James Nutland, Craig Jackson, Terryn Valikodath và Brennan Evans cho biết: "Với lịch sử khai thác các lỗ hổng công khai của BlackByte để truy cập lần đầu, việc sử dụng VPN để truy cập từ xa có thể thể hiện một sự thay đổi nhỏ về kỹ thuật hoặc có thể thể hiện chủ nghĩa cơ hội". "Việc sử dụng VPN của nạn nhân để truy cập từ xa cũng mang lại cho kẻ thù những lợi thế khác, bao gồm cả việc giảm khả năng hiển thị từ EDR của tổ chức."


Sau đó, kẻ đe dọa đã tìm cách leo thang đặc quyền, sử dụng quyền truy cập vào máy chủ VMware vCenter của tổ chức để tạo và thêm tài khoản mới vào nhóm Active Directory có tên Quản trị viên ESX. Talos cho biết, điều này được thực hiện bằng cách khai thác CVE-2024-37085, cho phép kẻ tấn công giành được đặc quyền của quản trị viên trên bộ ảo hóa bằng cách tạo một nhóm có tên đó và thêm bất kỳ người dùng nào vào đó.

Đặc quyền này sau đó có thể bị lạm dụng để điều khiển máy ảo (VM), sửa đổi cấu hình của máy chủ lưu trữ và giành quyền truy cập trái phép vào nhật ký hệ thống, công cụ chẩn đoán và giám sát hiệu suất.

Talos chỉ ra rằng việc khai thác lỗ hổng này diễn ra chỉ vài ngày sau khi công khai, điều này cho thấy tốc độ mà những kẻ tấn công tinh chỉnh chiến thuật của chúng để đưa các lỗ hổng mới được tiết lộ vào kho vũ khí của chúng và đẩy mạnh các cuộc tấn công.

Hơn nữa, các cuộc tấn công BlackByte gần đây lên đến đỉnh điểm với việc các tệp được mã hóa được viết lại với phần mở rộng tệp là "blackbytent_h", trong đó bộ mã hóa cũng loại bỏ bốn trình điều khiển dễ bị tấn công như một phần của cuộc tấn công BYOVD. Tất cả bốn trình điều khiển đều tuân theo quy ước đặt tên tương tự: Tám ký tự chữ và số ngẫu nhiên theo sau là dấu gạch dưới và giá trị số tăng dần -

• AM35W2PH (RtCore64.sys)
• AM35W2PH_1 (DBUtil_2_3.sys)
• AM35W2PH_2 (zamguard64.sys hay còn gọi là Kẻ hủy diệt )
• AM35W2PH_3 (gdrv.sys)

Các lĩnh vực dịch vụ chuyên môn, khoa học và kỹ thuật có mức độ phơi nhiễm lớn nhất với các nguyên nhân dễ bị tổn thương được quan sát, chiếm 15% trong tổng số, tiếp theo là sản xuất (13%) và dịch vụ giáo dục (13%). Talos cũng đánh giá rằng kẻ đe dọa có thể hoạt động tích cực hơn so với vẻ ngoài của nó và ước tính chỉ có khoảng 20-30% nạn nhân được đăng công khai, mặc dù lý do chính xác cho sự chênh lệch này vẫn chưa rõ ràng.

Các nhà nghiên cứu cho biết: "Sự phát triển của BlackByte trong các ngôn ngữ lập trình từ C# đến Go và sau đó là C/C++ trong phiên bản mới nhất của bộ mã hóa – BlackByteNT – thể hiện nỗ lực có chủ ý nhằm tăng khả năng phục hồi của phần mềm độc hại trước việc phát hiện và phân tích".

"Các ngôn ngữ phức tạp như C/C++ cho phép kết hợp các kỹ thuật chống phân tích và chống gỡ lỗi tiên tiến, đã được các nhà nghiên cứu bảo mật khác quan sát thấy trên công cụ BlackByte trong quá trình phân tích chi tiết."

Tiết lộ này được đưa ra khi Group-IB giải mã các chiến thuật liên quan đến hai chủng ransomware khác được theo dõi là Brain Cipher và RansomHub, nhấn mạnh mối liên hệ tiềm năng của loại trước đây với các nhóm ransomware như EstateRansomware, SenSayQ và RebornRansomware.


Công ty an ninh mạng Singapore cho biết : "Có những điểm tương đồng về phong cách và nội dung trong thông báo đòi tiền chuộc của Brain Cipher với ransomware SenSayQ". "Các trang web TOR của nhóm ransomware Brain Cipher và nhóm ransomware SenSayQ sử dụng các công nghệ và tập lệnh tương tự."

Mặt khác, RansomHub đã được quan sát thấy đang tuyển dụng các chi nhánh cũ của Scattered Spider, một chi tiết lần đầu tiên được đưa ra ánh sáng vào tháng trước. Phần lớn các cuộc tấn công nhắm vào các lĩnh vực chăm sóc sức khỏe, tài chính và chính phủ ở Mỹ, Brazil, Ý, Tây Ban Nha và Vương quốc Anh.

Group-IB cho biết: "Để có quyền truy cập ban đầu, các chi nhánh thường mua các tài khoản miền hợp lệ bị xâm phạm từ Nhà môi giới truy cập ban đầu (IAB) và các dịch vụ từ xa bên ngoài", Group-IB cho biết thêm "các tài khoản đã được lấy thông qua kẻ đánh cắp LummaC2".

"Chiến thuật của RansomHub bao gồm tận dụng các tài khoản miền bị xâm nhập và VPN công cộng để truy cập ban đầu, sau đó là lọc dữ liệu và quy trình mã hóa mở rộng. Việc họ giới thiệu chương trình liên kết RaaS gần đây và sử dụng các khoản thanh toán tiền chuộc theo yêu cầu cao minh họa cho cách tiếp cận ngày càng phát triển và mạnh mẽ của họ."