BlackByte Ransomware explora falha do VMware ESXi na última onda de ataques
O ransomware BlackByte, conduzido por seus operadores, explorou recentemente uma vulnerabilidade corrigida em hipervisores VMware ESXi. Eles utilizaram ainda vários drivers vulneráveis para desativar defesas de segurança. A Cisco Talos em relatório técnico compartilhado com o The Hacker News informou que o BlackByte persiste em aprimorar seus métodos usuais para contornar proteções e propagar seu ransomware.
A falha em questão, identificada como CVE-2024-37085, é um bypass de autenticação previamente explorado por outros grupos de ransomware e indica uma mudança tática no grupo cibercriminoso. O BlackByte tornou-se notório no final de 2021 e foi apontado como uma variação de ransomware subsequente ao desmantelamento do grupo Conti.
O BlackByte também se caracteriza pelo uso de vulnerabilidades do ProxyShell no Microsoft Exchange Server para acessos iniciais, evitando detecções em sistemas com idiomas russo e de Leste Europeu. Além disso, adota a tática de extorsão dupla em seus ataques, ameaçando com vazamentos de dados na dark web.
A Trustwave lançou um decodificador para o BlackByte em outubro de 2021, mas o grupo continuou a evoluir suas técnicas, incluindo a utilização de uma ferramenta de exfiltração de dados chamada ExByte. Autoridades dos EUA já atribuíram ao grupo ataques focalizados em setores de infraestrutura crucial, como finanças, alimentos e governo.
O grupo utiliza a técnica chamada “traga seu próprio driver vulnerável” (BYOVD) para finalizar processos de segurança. A Cisco Talos observou um ataque recente que começou com o acesso VPN obtido provavelmente por força bruta. Esse ataque viu a escalada de privilégios e a criação de contas no servidor VMware vCenter, visando a exploração da CVE-2024-37085 para ganhar o controle sobre sistemas.
O ransomware BlackByte também tende a utilizar diversos drivers vulneráveis nos ataques e, apesar de apenas uma parcela das vítimas ser revelada publicamente, suspeita-se que o grupo seja mais ativo do que parece. Além disso, o ransomware diversificou seus métodos, adotando C, .NET, Go e, mais recentemente, a linguagem C/C++ em suas variantes.
Outras ameaças, como os ransomwares Brain Cipher e RansomHub, também ganharam destaque pelos métodos e possíveis conexões com outros grupos de ransomware observados pela Group-IB. RansomHub tem notadamente visado setores nos EUA, Brasil, Itália, Espanha e Reino Unido, demonstrando uma abordagem agressiva e em expansão.
Mantenha-se atualizado com mais conteúdo informativo seguindo-nos no Twitter e LinkedIn, e não deixe de continuar acompanhando o TecMania para mais notícias relevantes.
