BlackByte Ransomware يستغل ثغرة VMware ESXi في موجة الهجوم الأخيرة

لوحظ أن الجهات الفاعلة في مجال التهديد وراء مجموعة BlackByte Ransomware تستغل على الأرجح ثغرة أمنية تم تصحيحها مؤخرًا تؤثر على برامج مراقبة الأجهزة الافتراضية VMware ESXi، مع الاستفادة أيضًا من العديد من برامج التشغيل الضعيفة لتعطيل الحماية الأمنية.

“تواصل مجموعة BlackByte Ransomware الاستفادة من التكتيكات والتقنيات والإجراءات (TTPs) التي شكلت أساس أسلوبها التجاري منذ بدايتها، وتكرر باستمرار استخدامها لبرامج التشغيل الضعيفة لتجاوز الحماية الأمنية ونشر برنامج تشفير لبرامج الفدية قابل للنشر ذاتيًا وقابل للديدان. “، قال سيسكو تالوس في التقنية تقرير تمت مشاركتها مع The Hacker News.

يعد استغلال CVE-2024-37085، وهي ثغرة أمنية لتجاوز المصادقة في VMware ESXi والتي تم استغلالها أيضًا كسلاح من قبل مجموعات برامج الفدية الأخرى، علامة على أن مجموعة الجريمة الإلكترونية تبتعد عن الأساليب المعمول بها.

بلاك بايت صنع ظهر لأول مرة في النصف الثاني من عام 2021 ويُزعم أنه أحد متغيرات برامج الفدية التي ظهرت في الأشهر التي سبقت إغلاق طاقم Conti Ransomware سيئ السمعة.

تتمتع مجموعة برامج الفدية كخدمة (RaaS) بتاريخ من الاستغلال بروكسيشيل نقاط الضعف في Microsoft Exchange Server للحصول على الوصول الأولي، مع تجنب الأنظمة التي تستخدم اللغة الروسية وعدد من لغات أوروبا الشرقية.

كما هو الحال مع مجموعات RaaS، فإنها تستفيد أيضًا ابتزاز مزدوج كجزء من الهجمات، اعتماد نهج الاسم والعار عبر موقع تسرب البيانات الذي يتم تشغيله على الويب المظلم للضغط على الضحايا لدفع الأموال. أنواع متعددة من برامج الفدية، مكتوب بلغة C و.NET وGo، وقد لوحظت في البرية حتى الآن.

بينما أ فك التشفير بالنسبة لإصدار BlackByte بواسطة Trustwave في أكتوبر 2021، واصلت المجموعة تحسين طريقة عملها، حتى أنها ذهبت إلى حد استخدام أداة مخصصة تسمى إكس بايت لاستخلاص البيانات قبل البدء بالتشفير.

استشارية مطلق سراحه ونسبت الحكومة الأمريكية في أوائل عام 2022 مجموعة RaaS إلى الهجمات ذات الدوافع المالية التي استهدفت قطاعات البنية التحتية الحيوية، بما في ذلك المرافق المالية والغذاء والزراعة والمرافق الحكومية.

أحد الجوانب المهمة لهجماتهم هو استخدام برامج التشغيل الضعيفة لإنهاء العمليات الأمنية وتجاوز الضوابط، وهي تقنية تُعرف باسم إحضار برنامج التشغيل الضعيف الخاص بك (BYOVD).

قالت Cisco Talos، التي حققت في هجوم برنامج طلب الفدية BlackByte الأخير، إنه من المحتمل أن يتم تسهيل الاختراق باستخدام بيانات اعتماد صالحة للوصول إلى شبكة VPN الخاصة بالمؤسسة الضحية. ويعتقد أنه تم الحصول على الوصول الأولي من خلال هجوم القوة الغاشمة.

وقال الباحثون الأمنيون جيمس نوتلاند، وكريج جاكسون، وتيرين فاليكوداث، وبرينان إيفانز: “بالنظر إلى تاريخ BlackByte في استغلال نقاط الضعف العامة للوصول الأولي، فإن استخدام VPN للوصول عن بعد قد يمثل تحولًا طفيفًا في التقنية أو قد يمثل انتهازية”. “إن استخدام شبكة VPN الخاصة بالضحية للوصول عن بعد يوفر أيضًا للخصم مزايا أخرى، بما في ذلك انخفاض الرؤية من EDR الخاص بالمنظمة.”

تمكن ممثل التهديد لاحقًا من تصعيد امتيازاته، باستخدام الأذونات للوصول إلى خادم VMware vCenter الخاص بالمؤسسة لإنشاء وإضافة حسابات جديدة إلى مجموعة Active Directory تسمى ESX Admins. وقال تالوس إن ذلك تم عن طريق استغلال CVE-2024-37085، والذي يمكّن المهاجم من الحصول على امتيازات المسؤول على برنامج Hypervisor عن طريق إنشاء مجموعة بهذا الاسم وإضافة أي مستخدم إليها.

يمكن بعد ذلك إساءة استخدام هذا الامتياز للتحكم في الأجهزة الافتراضية (VMs)، وتعديل تكوين الخادم المضيف، والحصول على وصول غير مصرح به إلى سجلات النظام والتشخيصات وأدوات مراقبة الأداء.

وأشار تالوس إلى أن استغلال الخلل حدث في غضون أيام من الكشف العلني، مما سلط الضوء على السرعة التي تقوم بها الجهات الفاعلة في مجال التهديد بتحسين تكتيكاتها لدمج نقاط الضعف التي تم الكشف عنها حديثًا في ترسانتها وتعزيز هجماتها.

علاوة على ذلك، بلغت هجمات BlackByte الأخيرة ذروتها مع إعادة كتابة الملفات المشفرة بامتداد الملف “blackbytent_h”، مع قيام برنامج التشفير أيضًا بإسقاط أربعة برامج تشغيل ضعيفة كجزء من هجوم BYOVD. تتبع كافة برامج التشغيل الأربعة اصطلاح تسمية مشابهًا: ثمانية أحرف أبجدية رقمية عشوائية متبوعة بشرطة سفلية وقيمة رقمية تزايدية –

• AM35W2PH (RtCore64.sys)
• AM35W2PH_1 (DBUtil_2_3.sys)
• AM35W2PH_2 (zamguard64.sys المعروف أيضًا باسم Terminator)
• AM35W2PH_3 (gdrv.sys)

وتشهد قطاعات الخدمات المهنية والعلمية والتقنية أكبر تعرض للعوامل المحركة الضعيفة، حيث تمثل 15% من الإجمالي، يليها التصنيع (13%) والخدمات التعليمية (13%). وقدر تالوس أيضًا أن جهة التهديد من المرجح أن تكون أكثر نشاطًا مما تبدو عليه، وأن ما يقدر بنحو 20-30٪ فقط من الضحايا يتم نشرهم علنًا، على الرغم من أن السبب الدقيق لهذا التفاوت لا يزال غير واضح.

“تقدم BlackByte في لغات البرمجة من C# إلى Go ومن ثم إلى C/C++ في أحدث نسخة التشفير الخاص به – بلاك بايت نت وقال الباحثون: “يمثل هذا جهدًا متعمدًا لزيادة مرونة البرامج الضارة ضد الاكتشاف والتحليل”.

“تسمح اللغات المعقدة مثل C/C++ بدمج تقنيات مكافحة التحليل وتصحيح الأخطاء المتقدمة، والتي تمت ملاحظتها عبر أدوات BlackByte أثناء التحليل التفصيلي الذي أجراه باحثون أمنيون آخرون.”

ويأتي هذا الكشف في الوقت الذي كشفت فيه Group-IB عن التكتيكات المرتبطة بسلالتين أخريين من برامج الفدية التي تم تتبعها مثل Brain Cipher وRansomHub، مما يؤكد الروابط المحتملة للأولى مع مجموعات برامج الفدية مثل EstateRansomware وSenSayQ وRebornRansomware.

وقالت شركة الأمن السيبراني السنغافورية: “هناك أوجه تشابه من حيث أسلوب ومحتوى مذكرة الفدية الخاصة بـ Brain Cipher مع تلك الخاصة ببرنامج الفدية SenSayQ”. قال. “تستخدم مواقع TOR التابعة لمجموعة Brain Cipher Ransomware ومجموعة SenSayQ Ransomware تقنيات ونصوص مماثلة.”

من ناحية أخرى، لوحظ أن RansomHub يقوم بتجنيد منتسبين سابقين لـ Scattered Spider، وهي التفاصيل التي ظهرت لأول مرة الشهر الماضي. واستهدفت غالبية الهجمات قطاعات الرعاية الصحية والمالية والحكومة في الولايات المتحدة والبرازيل وإيطاليا وإسبانيا والمملكة المتحدة

“من أجل الوصول الأولي، تقوم الشركات التابعة عادة بشراء حسابات نطاق صالحة مخترقة من وسطاء الوصول الأولي (IABs) والخدمات الخارجية عن بعد،” Group-IB قالمضيفًا “تم الحصول على الحسابات عبر LummaC2steer.”

“تتضمن تكتيكات RansomHub الاستفادة من حسابات النطاق المخترقة والشبكات الافتراضية الخاصة العامة للوصول الأولي، يليها استخراج البيانات وعمليات تشفير واسعة النطاق. إن طرحهم الأخير لبرنامج RaaS التابع واستخدام مدفوعات الفدية عالية الطلب يوضح نهجهم المتطور والعدواني.”