Il gruppo di ransomware BlackByte è stato recentemente osservato sfruttare una vulnerabilità di sicurezza appena corretta che colpisce gli hypervisor VMware ESXi. Questo attacco sfrutta varie tecniche, tra cui l'uso di driver vulnerabili per disarmare le protezioni di sicurezza. Secondo un rapporto tecnico di Cisco Talos, il gruppo BlackByte utilizza la vulnerabilità CVE-2024-37085, un difetto di autenticazione bypass in VMware ESXi, per avanzare nelle loro operazioni criminali.

Il gruppo ransomware BlackByte è emerso nella seconda metà del 2021, poco prima della chiusura del famigerato gruppo di ransomware Conti. Questo gruppo ransomware-as-a-service (RaaS) è noto per sfruttare le vulnerabilità ProxyShell nei server Microsoft Exchange per ottenere l'accesso iniziale, evitando al contempo sistemi che utilizzano il russo e altre lingue dell'Europa orientale. BlackByte utilizza anche la doppia estorsione, minacciando di divulgare i dati rubati su siti del dark web per costringere le vittime a pagare il riscatto.

Nonostante il rilascio di un decryptor per BlackByte da parte di Trustwave nell'ottobre 2021, il gruppo ha continuato a perfezionare le sue tattiche. Ad esempio, ha sviluppato uno strumento personalizzato chiamato ExByte per l'esfiltrazione dei dati prima di iniziare la crittografia. Un avviso del governo degli Stati Uniti all'inizio del 2022 ha attribuito al gruppo RaaS attacchi finanziariamente motivati che colpiscono settori infrastrutturali critici, tra cui finanza, alimentazione e agricoltura, e strutture governative.

Una delle tattiche distintive di BlackByte è l'uso di driver vulnerabili per terminare i processi di sicurezza e bypassare i controlli, una tecnica nota come bring your own vulnerable driver (BYOVD). Cisco Talos ha indagato su un recente attacco ransomware BlackByte e ha scoperto che l'intrusione è stata probabilmente facilitata dall'uso di credenziali valide per accedere alla VPN dell'organizzazione vittima. Si ritiene che l'accesso iniziale sia stato ottenuto tramite un attacco di forza bruta.

Una volta ottenuto l'accesso, il gruppo ha utilizzato i permessi per accedere al server VMware vCenter dell'organizzazione e creare nuovi account in un gruppo Active Directory denominato ESX Admins. Questo è stato fatto sfruttando la vulnerabilità CVE-2024-37085, che consente a un attaccante di ottenere privilegi di amministratore sull'hypervisor creando un gruppo con quel nome e aggiungendo qualsiasi utente ad esso. Questo privilegio può essere abusato per controllare macchine virtuali (VM), modificare la configurazione del server host e ottenere accesso non autorizzato ai log di sistema, strumenti diagnostici e di monitoraggio delle prestazioni.

L'esecuzione dell'attacco ha portato alla riscrittura dei file crittografati con l'estensione "blackbytent_h" e l'uso di quattro driver vulnerabili come parte dell'attacco BYOVD. I driver seguono una convenzione di denominazione simile, con otto caratteri alfanumerici casuali seguiti da un trattino basso e un valore numerico incrementale.

Il settore dei servizi professionali, scientifici e tecnici è il più esposto a questi driver vulnerabili, seguito dalla manifattura e dai servizi educativi. Cisco Talos ha valutato che il gruppo è probabilmente più attivo di quanto appaia, con solo il 20-30% delle vittime pubblicamente segnalate.

BlackByte ha anche evoluto la sua programmazione dal C# al Go e successivamente al C/C++ nella versione più recente del suo encryptor, BlackByteNT, in un tentativo deliberato di aumentare la resilienza del malware contro il rilevamento e l'analisi. Linguaggi complessi come C/C++ consentono l'incorporazione di tecniche avanzate di anti-analisi e anti-debugging.