Os atores de ameaça por trás do grupo de ransomware BlackByte foram observados aproveitando, provavelmente, uma falha de segurança recentemente corrigida que impacta os hipervisores VMware ESXi, ao mesmo tempo que utilizam diversos drivers vulneráveis para desativar proteções de segurança.
"O grupo de ransomware BlackByte continua a aproveitar táticas, técnicas e procedimentos (TTPs) que formaram a base de seu ofício desde sua criação, iterando continuamente seu uso de drivers vulneráveis para contornar proteções de segurança e implantando um criptografador de ransomware auto-propagável e wormable", disse a Cisco Talos em um relatório técnico.
A exploração da
CVE-2024-37085
, uma vulnerabilidade de bypass de autenticação no VMware ESXi que também foi armada por outros grupos de ransomware, é um sinal de que o grupo de e-crime está se desviando das abordagens estabelecidas.
BlackByte fez sua estreia no segundo semestre de 2021 e é considerado como uma das variantes de ransomware que surgiram nos meses que antecederam o desligamento da infame equipe de ransomware Conti.
O grupo, que opera ransomware como um serviço (RaaS), tem um histórico de exploração de vulnerabilidades ProxyShell no Microsoft Exchange Server para obter acesso inicial, evitando sistemas que usam o russo e uma série de línguas do leste europeu.
Como os grupos RaaS, ele também aproveita a extorsão dupla como parte dos ataques, adotando uma abordagem de nomear e envergonhar via um site de vazamento de dados operado na dark web para pressionar as vítimas a pagar.
Múltiplas variantes do ransomware, escritas em C, .NET e Go, foram observadas na natureza até o momento.
Embora um decryptor para o BlackByte tenha sido lançado pela Trustwave em outubro de 2021, o grupo continuou a refinar seu modus operandi, chegando ao ponto de empregar uma ferramenta personalizada chamada ExByte para exfiltração de dados antes de iniciar a criptografia.
Um aviso divulgado pelo governo dos EUA no início de 2022 atribuiu ao grupo RaaS ataques motivados financeiramente visando setores de infraestrutura crítica, incluindo financeiro, alimentício e agrícola, e instalações governamentais.
Um dos aspectos importantes de seus ataques é o uso de drivers vulneráveis para terminar processos de segurança e burlar controles, uma técnica conhecida como bring your own vulnerable driver (BYOVD).
A Cisco Talos, que investigou um recente ataque de ransomware BlackByte, disse que a intrusão foi provavelmente facilitada usando credenciais válidas para acessar a VPN da organização vítima.
Acredita-se que o acesso inicial foi obtido através de um ataque de força bruta.
"Dada a história do BlackByte de explorar vulnerabilidades voltadas para o público para acesso inicial, o uso de VPN para acesso remoto pode representar uma leve mudança de técnica ou poderia representar oportunismo", disseram os pesquisadores de segurança James Nutland, Craig Jackson, Terryn Valikodath e Brennan Evans.
O uso da VPN da vítima para acesso remoto também oferece outras vantagens ao adversário, incluindo reduzida visibilidade por parte do EDR da organização.
O ator de ameaça conseguiu, subsequentemente, elevar seus privilégios, usando as permissões para acessar o servidor VMware vCenter da organização para criar e adicionar novas contas a um grupo do Active Directory chamado ESX Admins.
Isso, segundo a Talos, foi feito explorando a
CVE-2024-37085
, que permite a um agressor obter privilégios de administrador no hipervisor criando um grupo com esse nome e adicionando qualquer usuário a ele.
Esse privilégio pode então ser abusado para controlar máquinas virtuais (VMs), modificar a configuração do servidor host e obter acesso não autorizado a logs do sistema, diagnósticos e ferramentas de monitoramento de desempenho.
A Talos apontou que a exploração da falha ocorreu dentro de dias após a divulgação pública, destacando a velocidade com que os atores de ameaça refinam suas táticas para incorporar vulnerabilidades recém-divulgadas ao seu arsenal e avançar seus ataques.
Ademais, os recentes ataques do BlackByte culminam com os arquivos criptografados sendo reescritos com a extensão de arquivo "blackbytent_h", com o criptografador também soltando quatro drivers vulneráveis como parte do ataque BYOVD.
Todos os quatro drivers seguem uma convenção de nomeação similar: Oito caracteres alfanuméricos aleatórios seguidos por um sublinhado e um valor numérico incremental.
AM35W2PH (RtCore64.sys)
AM35W2PH_1 (DBUtil_2_3.sys)
AM35W2PH_2 (zamguard64.sys aka Terminator)
AM35W2PH_3 (gdrv.sys)
Os setores de serviços profissionais, científicos e técnicos têm a maior exposição aos drivers vulneráveis observados, representando 15% do total, seguidos por manufatura (13%) e serviços educacionais (13%).
A Talos também avaliou que o ator de ameaça provavelmente é mais ativo do que parece, e que apenas uma estimativa de 20-30% das vítimas são publicamente postadas, embora a razão exata para esta disparidade permaneça obscura.
"A progressão do BlackByte em linguagens de programação de C# para Go e subsequentemente para C/C++ na última versão de seu criptografador – BlackByteNT – representa um esforço deliberado para aumentar a resiliência do malware contra detecção e análise", disseram os pesquisadores.
Linguagens complexas como C/C++ permitem a incorporação de técnicas avançadas de anti-análise e anti-debugging, que foram observadas através das ferramentas BlackByte durante análises detalhadas por outros pesquisadores de segurança.
A divulgação ocorre enquanto a Group-IB desempacotou as táticas associadas a duas outras cepas de ransomware rastreadas como Brain Cipher e RansomHub, sublinhando as potenciais conexões do primeiro com grupos de ransomware como EstateRansomware, SenSayQ e RebornRansomware.
"Há semelhanças em termos de estilo e conteúdo da nota de resgate do Brain Cipher com as do ransomware SenSayQ", disse a empresa de cibersegurança de Cingapura.
Os sites TOR do grupo de ransomware Brain Cipher e do grupo de ransomware SenSayQ usam tecnologias e scripts similares. RansomHub, por outro lado, foi observado recrutando ex-afiliados do Scattered Spider, um detalhe que veio à luz pela primeira vez no mês passado.
A maioria dos ataques visou os setores de saúde, finanças e governo nos EUA, Brasil, Itália, Espanha e Reino Unido.
"Para acesso inicial, os afiliados geralmente compram contas de domínio comprometidas válidas de Initial Access Brokers (IABs) e serviços remotos externos", disse a Group-IB, acrescentando que "as contas foram adquiridas via LummaC2 stealer." "As táticas do RansomHub incluem o aproveitamento de contas de domínio comprometidas e VPNs públicas para acesso inicial, seguido por exfiltração de dados e processos extensivos de criptografia.
Sua recente introdução de um programa de afiliados RaaS e uso de pagamentos de resgate de alta demanda ilustram sua abordagem evolutiva e agressiva."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...