 EL RANSOMWARE BLACKBYTE TENDRÍA COMO OBJETIVO VMWARE ESXI PARA REALIZAR ATAQUES
Se ha observado que el grupo BlackByte estaría aprovechando un fallo de seguridad recientemente parcheado que afecta a los hipervisores VMware ESXi y de varios controladores vulnerables para desactivar las protecciones de seguridad.  • VMware ESXi 8.0
El CVE-2024-37085, es una vulnerabilidad de elusión de autenticación en VMware ESXi que ha sido utilizada por otros grupos de ransomware para realizar ciberataques. Al igual que los grupos RaaS, también recurre a la doble extorsión como parte de los ataques, a través de un sitio de filtración de datos operado en la dark web para presionar a las víctimas para que paguen. Hasta la fecha se han observado múltiples variantes del ransomware, escritas en C, .NET y Go. El proveedor de seguridad, que investigó un reciente ataque del ransomware BlackByte, dijo que la intrusión probablemente se facilitó utilizando credenciales válidas para acceder a la VPN de la organización vulnerada y se cree que el acceso inicial se obtuvo mediante un ataque de fuerza bruta. Dado el historial de BlackByte de explotar vulnerabilidades públicas para el acceso inicial, el uso de VPN para el acceso remoto puede representar un ligero cambio en sus tácticas. Ya usar este también ofrece al atacante otras ventajas, como la reducción de la visibilidad desde el EDR de la organización. El grupo consiguió posteriormente escalar sus privilegios, utilizando los permisos de acceso al servidor VMware vCenter de la organización para crear y añadir nuevas cuentas a un grupo de Active Directory llamado ESX Admins mediante la explotación de CVE-2024-37085, que permite a un atacante obtener privilegios de administrador en el hipervisor mediante la creación de un grupo con ese nombre y la adición de cualquier usuario a la misma. Este privilegio podría entonces ser aprovechado para controlar máquinas virtuales (VMs), modificar la configuración del servidor host y obtener acceso no autorizado a los registros del sistema, diagnósticos y herramientas de monitorización del rendimiento. Además, los recientes ataques de BlackByte culminan con la reescritura de los archivos cifrados con la extensión de archivo “blackbytent_h”, y el cifrador también deja caer cuatro archivos vulnerables como parte del ataque BYOVD. Estos siguen una convención de nomenclatura similar: Ocho caracteres alfanuméricos aleatorios seguidos de un guion bajo y un valor numérico incremental. como, por ejemplo: • AM35W2PH (RtCore64.sys) • AM35W2PH_1 (DBUtil_2_3.sys) • AM35W2PH_2 (zamguard64.sys aka Terminator) • AM35W2PH_3 (gdrv.sys) La progresión de BlackByte en los lenguajes de programación de C# a Go y posteriormente a C/C++ en la última versión de su encriptador representa un esfuerzo deliberado para aumentar la resistencia del malware contra la detección y el análisis. Indicadores de Compromiso
Hash MD5: 2d8e4f38b36c334d0a32a7324832501d SHA-256: 01aa278b07b58dc46c84bd0b1b5c8e9ee4e62ea0bf7a695862444af32e87f1fd MD5: c996d7971c49252c582171d9380360f2 SHA-256: 0296e2ce999e67c76352613a718e11516fe1b0efc3ffdb8918fc999dd76a73a5 MD5: 9ab9f3b75a2eb87fafb1b7361be9dfb3 SHA-256: 31f4cfb4c71da44120752721103a16512444c13c2ac2d857a7e6f13cb679b427 MD5: 21e13f2cb269defeae5e1d09887d47bb SHA-256: 543991ca8d1c65113dff039b85ae3f9a87f503daec30f46929fd454bc57e5a91  Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos: Para el personal de seguridad de información: • El proveedor recomienda actualizar a la versión VMware ESXi 8.0 ESXi80U3-24022510 y VMware Cloud Foundation 5.2. • Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos. • Concientizar constantemente a los usuarios en temas relacionados a seguridad informática. • Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización. • Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura. ** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada. Para usuarios finales: • No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos. • Escanear todo el software descargado de Internet antes de la ejecución. • De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución. 
 |
