اکسپلویت آسیب‌پذیری VMware ESXi (CVE-2024-37085) در آخرین موج حمله باج‌افزار BlackByte

security news

عوامل تهدید مرتبط با گروه باج‌افزار BlackByte از یک نقص امنیتی اخیراً رفع شده که بر VMware ESXi hypervisors تأثیر می‌گذارد سوء استفاده می‌کنند، در حالی که از درایورهای آسیب‌پذیر مختلف برای خلع سلاح حفاظت‌های امنیتی استفاده می‌کنند.

 Cisco Talos در گزارشی فنی گفت: گروه باج‌افزار BlackByte همچنان به استفاده از تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) ادامه می‌دهد و به طور مداوم به استفاده از درایورهای آسیب‌پذیر به منظور دور زدن حفاظت‌های امنیتی و به کارگیری رمزگذار اختصاصی خود، اقدام می‌کند. بهره‌برداری از  آسیب‌پذیری عبور از احراز هویت در VMware ESXi با شناسه CVE-2024-37085 (امتیاز 6.8) که توسط سایر گروه‌های باج‌افزار نیز مورد استفاده قرار گرفته است، نشانه‌ای است که گروه جرایم الکترونیکی از رویکردهای تعیین‌ شده دور می‌شوند.

فعالیت BlackByte اولین بار در نیمه دوم سال 2021 آغاز شد و ظاهراً یکی از شاخه‌های باج‌افزار مستقلی است که در ماه‌های منتهی به غیرفعال‌سازی باج‌افزار بدنام Conti ظهور کرده است. این گروه باج‌افزار به‌عنوان سرویس (RaaS) سابقه سوء استفاده از آسیب‌پذیری‌های ProxyShell در Microsoft Exchange Server برای دستیابی به دسترسی اولیه را دارد، در حالی که از سیستم‌هایی که از زبان روسی و تعدادی از زبان‌های اروپای شرقی استفاده می‌کنند اجتناب می‌کند.

BlackByte مانند دیگر گروه‌های RaaS، از اخاذی مضاعف به عنوان بخشی از حملات استفاده می‌کند و از طریق یک سایت نشت داده‌ها در دارک‌وب، برای تحت فشار قرار دادن قربانیان جهت پرداخت باج، رویکرد name-and-shame را اتخاذ می‌کند. گفتنی است که تاکنون انواع مختلفی از این باج‌افزار که به زبان‌های C، .NET و Go نوشته شده‌اند، مشاهده شده‌اند.

 

https://thehackernews.com/2024/08/blackbyte-ransomware-exploits-vmware.html