عوامل تهدید مرتبط با گروه باجافزار BlackByte از یک نقص امنیتی اخیراً رفع شده که بر VMware ESXi hypervisors تأثیر میگذارد سوء استفاده میکنند، در حالی که از درایورهای آسیبپذیر مختلف برای خلع سلاح حفاظتهای امنیتی استفاده میکنند.
Cisco Talos در گزارشی فنی گفت: گروه باجافزار BlackByte همچنان به استفاده از تاکتیکها، تکنیکها و رویهها (TTP) ادامه میدهد و به طور مداوم به استفاده از درایورهای آسیبپذیر به منظور دور زدن حفاظتهای امنیتی و به کارگیری رمزگذار اختصاصی خود، اقدام میکند. بهرهبرداری از آسیبپذیری عبور از احراز هویت در VMware ESXi با شناسه CVE-2024-37085 (امتیاز 6.8) که توسط سایر گروههای باجافزار نیز مورد استفاده قرار گرفته است، نشانهای است که گروه جرایم الکترونیکی از رویکردهای تعیین شده دور میشوند.
فعالیت BlackByte اولین بار در نیمه دوم سال 2021 آغاز شد و ظاهراً یکی از شاخههای باجافزار مستقلی است که در ماههای منتهی به غیرفعالسازی باجافزار بدنام Conti ظهور کرده است. این گروه باجافزار بهعنوان سرویس (RaaS) سابقه سوء استفاده از آسیبپذیریهای ProxyShell در Microsoft Exchange Server برای دستیابی به دسترسی اولیه را دارد، در حالی که از سیستمهایی که از زبان روسی و تعدادی از زبانهای اروپای شرقی استفاده میکنند اجتناب میکند.
BlackByte مانند دیگر گروههای RaaS، از اخاذی مضاعف به عنوان بخشی از حملات استفاده میکند و از طریق یک سایت نشت دادهها در دارکوب، برای تحت فشار قرار دادن قربانیان جهت پرداخت باج، رویکرد name-and-shame را اتخاذ میکند. گفتنی است که تاکنون انواع مختلفی از این باجافزار که به زبانهای C، .NET و Go نوشته شدهاند، مشاهده شدهاند.
https://thehackernews.com/2024/08/blackbyte-ransomware-exploits-vmware.html
