O grupo de ransomware BlackByte foi recentemente flagrado explorando uma vulnerabilidade corrigida no VMware ESXi, enquanto continua explorando drivers vulneráveis para desabilitar proteções de segurança. Segundo um relatório da Cisco Talos, o BlackByte mantém suas táticas e técnicas tradicionais, mas agora emprega novos métodos para contornar defesas e implantar seu ransomware, que possui capacidades de auto-propagação.
A vulnerabilidade explorada, identificada como CVE-2024-37085, é um desvio de autenticação no VMware ESXi que permite aos atacantes obter privilégios de administrador no hipervisor ao criar um grupo “ESX Admins” e adicionar usuários a ele. Com isso, os invasores podem manipular máquinas virtuais, modificar configurações do servidor host e acessar informações críticas, como logs e ferramentas de monitoramento.
Desde sua aparição em 2021, o BlackByte se destacou por explorar falhas como as do ProxyShell no Microsoft Exchange Server, utilizando uma abordagem de dupla extorsão: sequestrando dados e ameaçando divulgá-los em um site na dark web caso o resgate não seja pago. Apesar da liberação de um decodificador para suas primeiras versões, o grupo seguiu aprimorando suas operações, introduzindo ferramentas como a ExByte para exfiltração de dados antes da criptografia.
O BlackByte é conhecido por focar em setores críticos como finanças, alimentação, agricultura e infraestrutura governamental, sempre com motivação financeira. Uma das táticas notáveis do grupo é o uso do método “Bring Your Own Vulnerable Driver” (BYOVD), onde drivers vulneráveis são introduzidos para desativar proteções de segurança e evitar detecção. Durante uma investigação recente, a Cisco Talos descobriu que o grupo usou credenciais legítimas para acessar a VPN de uma organização, obtidas por meio de ataques de força bruta, permitindo a escalada de privilégios e a manipulação do VMware vCenter.
Além do CVE-2024-37085, o ataque BYOVD utilizou quatro drivers vulneráveis, nomeados de forma similar:
- AM35W2PH (RtCore64.sys)
- AM35W2PH_1 (DBUtil_2_3.sys)
- AM35W2PH_2 (zamguard64.sys também conhecido como Exterminador do Futuro)
- AM35W2PH_3 (gdrv.sys)
Esses drivers foram empregados para desativar processos de segurança, facilitando a criptografia dos arquivos que são renomeados com a extensão “blackbytent_h“.
Os setores mais impactados incluem serviços profissionais, científicos e técnicos (15%), manufatura (13%) e serviços educacionais (13%). A Cisco Talos avalia que o grupo BlackByte pode estar mais ativo do que se acredita, com uma porcentagem significativa de ataques não sendo divulgada publicamente.
Para aumentar sua resiliência e dificultar a análise e detecção, o BlackByte evoluiu de linguagens como C# para Go e agora para C/C++, integrando técnicas avançadas de anti-análise e anti-depuração. Isso demonstra a constante adaptação e sofisticação do grupo em seus ataques.
Essa exploração rápida da CVE-2024-37085 sublinha a necessidade urgente de manter os sistemas atualizados e fortalecer as defesas contra vulnerabilidades recém-divulgadas, para minimizar a exposição aos ataques sofisticados do BlackByte e outros grupos de ransomware.
Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que transforma riscos cibernéticos em respostas confiáveis. Agende uma demo aqui
Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.