Ciberseguridad 360 | Ransomware BlackByte aprovecha un fallo de VMware ESXi para realizar ataques

Se ha observado que los autores de la amenaza BlackByte se aprovechan de un fallo de seguridad recientemente parcheado que afecta a los hipervisores VMware ESXi y de varios controladores vulnerables para desactivar las protecciones de seguridad.

"El grupo de ransomware BlackByte sigue aprovechando las t�cticas, t�cnicas y procedimientos (TTP) que han constituido la base de su actividad desde su creaci�n, repitiendo continuamente el uso de controladores vulnerables para eludir las protecciones de seguridad y desplegando un encriptador de ransomware autopropagable y gusanizable", afirma Cisco Talos en un informe t�cnico compartido con The Hacker News.

La explotaci�n de CVE-2024-37085, una vulnerabilidad de elusi�n de autenticaci�n en VMware ESXi que tambi�n ha sido utilizada como arma por otros grupos de ransomware, es una se�al de que el grupo de ciberdelincuencia se est� apartando de los enfoques establecidos.

BlackByte hizo su debut en la segunda mitad de 2021 y se supone que es una de las variantes de ransomware que han surgido en los meses previos al cierre del infame grupo de ransomware Conti.

El grupo de ransomware-as-a-service (RaaS) tiene un historial de explotaci�n de vulnerabilidades ProxyShell en Microsoft Exchange Server para obtener acceso inicial, mientras que evita los sistemas que utilizan el ruso y una serie de idiomas de Europa del Este.

Al igual que los grupos RaaS, tambi�n recurre a la doble extorsi�n como parte de los ataques, adoptando un enfoque de nombrar y avergonzar a trav�s de un sitio de filtraci�n de datos operado en la web oscura para presionar a las v�ctimas para que paguen. Hasta la fecha se han observado m�ltiples variantes del ransomware, escritas en C, .NET y Go.

Aunque Trustwave public� un descifrador para BlackByte en octubre de 2021, el grupo ha seguido perfeccionando su modus operandi, llegando incluso a emplear una herramienta personalizada llamada ExByte para la exfiltraci�n de datos antes de iniciar el cifrado.

Un aviso publicado por el gobierno estadounidense a principios de 2022 atribuy� al grupo RaaS ataques con motivaci�n financiera dirigidos a sectores de infraestructuras cr�ticas, como el financiero, el agroalimentario y las instalaciones gubernamentales.

Uno de los aspectos importantes de sus ataques es el uso de controladores vulnerables para poner fin a los procesos de seguridad y eludir los controles, una t�cnica conocida como bring your own vulnerable driver (BYOVD).

Cisco Talos, que investig� un reciente ataque de ransomware BlackByte, dijo que la intrusi�n probablemente se facilit� utilizando credenciales v�lidas para acceder a la VPN de la organizaci�n v�ctima. Se cree que el acceso inicial se obtuvo mediante un ataque de fuerza bruta.

"Dado el historial de BlackByte de explotar vulnerabilidades de cara al p�blico para el acceso inicial, el uso de VPN para el acceso remoto puede representar un ligero cambio en la t�cnica o podr�a representar oportunismo", dijeron los investigadores de seguridad James Nutland, Craig Jackson, Terryn Valikodath y Brennan Evans. "El uso de la VPN de la v�ctima para el acceso remoto tambi�n ofrece al adversario otras ventajas, como la reducci�n de la visibilidad desde el EDR de la organizaci�n".

El actor de la amenaza consigui� posteriormente escalar sus privilegios, utilizando los permisos de acceso al servidor VMware vCenter de la organizaci�n para crear y a�adir nuevas cuentas a un grupo de Active Directory llamado ESX Admins. Esto, dijo Talos, se hizo mediante la explotaci�n de CVE-2024-37085, que permite a un atacante obtener privilegios de administrador en el hipervisor mediante la creaci�n de un grupo con ese nombre y la adici�n de cualquier usuario a la misma.

Este privilegio podr�a entonces ser abusado para controlar m�quinas virtuales (VMs), modificar la configuraci�n del servidor host y obtener acceso no autorizado a los registros del sistema, diagn�sticos y herramientas de monitorizaci�n del rendimiento.

Talos se�al� que la explotaci�n del fallo tuvo lugar pocos d�as despu�s de su divulgaci�n p�blica, lo que pone de relieve la velocidad a la que los actores de amenazas refinan sus t�cticas para incorporar vulnerabilidades reci�n divulgadas a su arsenal y avanzar en sus ataques.

Adem�s, los recientes ataques de BlackByte culminan con la reescritura de los archivos cifrados con la extensi�n de archivo "blackbytent_h", y el cifrador tambi�n deja caer cuatro controladores vulnerables como parte del ataque BYOVD. Los cuatro controladores siguen una convenci�n de nomenclatura similar: Ocho caracteres alfanum�ricos aleatorios seguidos de un gui�n bajo y un valor num�rico incremental.

AM35W2PH (RtCore64.sys)

AM35W2PH_1 (DBUtil_2_3.sys)

AM35W2PH_2 (zamguard64.sys conocido como Terminator)

AM35W2PH_3 (gdrv.sys)

Los sectores de servicios profesionales, cient�ficos y t�cnicos son los m�s expuestos a los actores vulnerables observados, con un 15% del total, seguidos de la industria manufacturera (13%) y los servicios educativos (13%). Talos tambi�n ha evaluado que es probable que el actor de la amenaza sea m�s activo de lo que parece, y que solo se estima que entre el 20 % y el 30 % de las v�ctimas se hacen p�blicas, aunque la raz�n exacta de esta disparidad sigue sin estar clara.

"La progresi�n de BlackByte en los lenguajes de programaci�n de C# a Go y posteriormente a C/C++ en la �ltima versi�n de su encriptador - BlackByteNT - representa un esfuerzo deliberado para aumentar la resistencia del malware contra la detecci�n y el an�lisis", dijeron los investigadores.

"Los lenguajes complejos como C/C++ permiten la incorporaci�n de t�cnicas avanzadas antian�lisis y antidepuraci�n, que se han observado en las herramientas de BlackByte durante el an�lisis detallado realizado por otros investigadores de seguridad."

La revelaci�n se produce mientras Group-IB desvelaba las t�cticas asociadas a otras dos cepas de ransomware rastreadas como Brain Cipher y RansomHub, subrayando las posibles conexiones de la primera con grupos de ransomware como EstateRansomware, SenSayQ y RebornRansomware.

"Hay similitudes en t�rminos de estilo y contenido de la nota de rescate de Brain Cipher con las del ransomware SenSayQ", dijo la compa��a de ciberseguridad de Singapur. "Los sitios web TOR del grupo de ransomware Brain Cipher y del grupo de ransomware SenSayQ utilizan tecnolog�as y scripts similares".

Por otra parte, se ha observado que RansomHub recluta a antiguos afiliados de Scattered Spider, un detalle que sali� a la luz por primera vez el mes pasado. La mayor�a de los ataques se han dirigido a los sectores sanitario, financiero y gubernamental de Estados Unidos, Brasil, Italia, Espa�a y Reino Unido.

"Para el acceso inicial, los afiliados suelen comprar cuentas de dominio v�lidas comprometidas a Initial Access Brokers (IABs) y servicios remotos externos", dijo Group-IB, a�adiendo que ?las cuentas han sido adquiridas a trav�s de LummaC2 stealer?.

"Las t�cticas de RansomHub incluyen el aprovechamiento de cuentas de dominio comprometidas y VPN p�blicas para el acceso inicial, seguido de la exfiltraci�n de datos y amplios procesos de cifrado. Su reciente introducci�n de un programa de afiliados RaaS y el uso de pagos de rescate de alta demanda ilustran su enfoque evolutivo y agresivo."

Fuente: thehackernews