O grupo de ransomware BlackByte, conhecido por sua alta sofisticação técnica, continua aprimorando suas estratégias para invadir sistemas corporativos e neutralizar medidas de segurança existentes.
Relatos recentes da Talos Incident Response (Talos IR) apontam para a combinação de técnicas já conhecidas por parte desse grupo com a exploração de vulnerabilidades emergentes, como a
CVE-2024-37085
, para comprometer sistemas de forma ágil.
Este movimento indica uma adaptabilidade e inovação notáveis por parte do BlackByte.
Em uma investigação recente, a Talos IR observou que o BlackByte tinha implementado uma nova versão de seu ransomware que agora adiciona a extensão “blackbytent_h” aos arquivos criptografados.
Além disso, essa atualização do ransomware agora descarta quatro drivers vulneráveis, ilustrando um incremento no emprego da estratégia “Bring Your Own Vulnerable Driver” (BYOVD) para evadir defesas de segurança.
Este avanço demonstra uma evolução contínua nas ferramentas utilizadas pelo BlackByte, apontando para um grupo ainda mais ativo do que se presumia anteriormente.
Entre as medidas defensivas recomendadas, encontram-se a autenticação multifator (MFA) para acessos remotos, auditorias de configuração de VPNs, a imposição de restrições ao uso de NTLM, bem como a aplicação regular de patches em sistemas considerados críticos, como os hosts ESXi.
Um detalhe particularmente preocupante é a utilização de credenciais do Active Directory pelo grupo para disseminar o ransomware, marcando uma transição do uso de ferramentas comerciais de administração remota, como o AnyDesk.
Tal estratégia permite ao BlackByte manter um perfil discreto enquanto compromete diversos sistemas dentro da rede da vítima.
A Talos IR também constatou que apenas 20 a 30% dos ataques bem-sucedidos promovidos pelo grupo resultam em publicações para extorsão em seu website de vazamento de dados, o que sugere que a magnitude real da atividade do BlackByte pode estar sendo subestimada.
As investigações ainda descobriram que, após obter acesso inicial, o BlackByte foi capaz de escalar privilégios através do comprometimento de contas de administradores de domínio, conquistando controle total sobre os servidores das vítimas.
Esta escalada de privilégios foi facilitada pela exploração da vulnerabilidade
CVE-2024-37085
, evidenciando a agilidade com que o grupo assimila e aplica novas falhas em suas operações.
Essa constante capacidade de adaptação, ao lado de um histórico de exploração de vulnerabilidades públicas, reforça a necessidade de uma vigilância contínua e a implementação de medidas de segurança robustas para proteger ambientes corporativos contra esse tipo de ameaça em crescimento.
As ações do BlackByte sublinham a urgência de as organizações fortalecerem suas defesas contra esses ataques sofisticados.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...