El ransomware BlackByte explota una falla de VMware ESXi y genera una nueva ola de ciberamenazas
El grupo de ransomware BlackByte ha vuelto y, esta vez, está explotando una vulnerabilidad recientemente parcheada en los hipervisores VMware ESXi, lo que ha despertado la alarma en todo el panorama de la ciberseguridad. El grupo, conocido por su modelo de ransomware como servicio (RaaS), ha aprovechado esta falla (CVE-2024-37085) para comprometer los sistemas, lo que marca una evolución significativa en su estrategia de ataque.
Tabla de contenido
Explotación de VMware ESXi: un cambio peligroso
En una reciente ola de ataques, se observó que BlackByte explotaba una vulnerabilidad de omisión de autenticación en VMware ESXi, que permite a los atacantes obtener privilegios de administrador en el hipervisor. Esta vulnerabilidad, CVE-2024-37085, ha sido utilizada como arma por varios grupos de ransomware, pero el uso que hace BlackByte de ella indica un peligroso giro en sus tácticas. Al explotar esta falla, los actores de la amenaza pudieron escalar privilegios, obtener acceso no autorizado a los registros del sistema y controlar las máquinas virtuales (VM).
Esta explotación de vulnerabilidades públicas para el acceso inicial no es nueva para BlackByte. Sin embargo, su reciente cambio al uso del acceso VPN, probablemente obtenido a través de ataques de fuerza bruta, pone de relieve su enfoque adaptativo. Al aprovechar las credenciales válidas para acceder a la VPN de una víctima, BlackByte ha logrado reducir la visibilidad de los sistemas de detección y respuesta de puntos finales (EDR) de la organización, lo que hace que sus ataques sean aún más sigilosos.
El papel de los controladores vulnerables en la desactivación de la seguridad
Un componente clave de la estrategia de ataque de BlackByte implica el uso de controladores vulnerables para desactivar las protecciones de seguridad, una técnica conocida como "traiga su propio controlador vulnerable" (BYOVD). En su último ataque, BlackByte implementó varios controladores vulnerables, incluidos RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys y gdrv.sys, para finalizar los procesos de seguridad y eludir los controles. Este método ha demostrado ser muy eficaz para evadir la detección, lo que permite que el ransomware se propague rápidamente por las redes.
Evolución de las técnicas de ransomware
La evolución de BlackByte, que pasó de usar C# a Go y ahora a C/C++ en su cifrador de ransomware, refleja un esfuerzo deliberado por mejorar la resistencia del malware frente a la detección y el análisis. La última versión, BlackByteNT, incorpora técnicas avanzadas de antianálisis y antidepuración, lo que hace que sea más difícil para los profesionales de la ciberseguridad contrarrestar la amenaza.
Esta adaptabilidad es parte de una tendencia más amplia entre los grupos de ransomware, como lo destaca una investigación reciente. La revelación de Cisco Talos se suma a los hallazgos de Group-IB, que detalla las tácticas de otras cepas de ransomware como Brain Cipher y RansomHub. Estos grupos, al igual que BlackByte, han desarrollado sus métodos, adoptando nuevos lenguajes y técnicas de programación para mantenerse a la vanguardia de las medidas de seguridad.
La amenaza continua
Los sectores de servicios profesionales, científicos y técnicos se encuentran entre los más expuestos a este tipo de ataques de ransomware, y los servicios de fabricación y educativos también corren un riesgo significativo. A pesar de algunos esfuerzos para combatir a BlackByte (como el lanzamiento de un descifrador por parte de Trustwave en octubre de 2021), el grupo ha seguido perfeccionando sus operaciones, empleando herramientas personalizadas como ExByte para la exfiltración de datos antes del cifrado.
La velocidad con la que BlackByte y otros grupos de ransomware explotan vulnerabilidades recién descubiertas es un duro recordatorio de la amenaza siempre presente que representan. A medida que continúan adaptando y perfeccionando sus técnicas, las organizaciones deben permanecer alertas, asegurándose de que sus sistemas sean parcheados rápidamente y de que las medidas de seguridad sean lo suficientemente sólidas para contrarrestar estos ataques en constante evolución.
Reflexiones finales
La última ola de ataques de BlackByte subraya la importancia de las medidas de ciberseguridad proactivas. A medida que los grupos de ransomware como BlackByte continúan evolucionando y aprovechando nuevas vulnerabilidades y técnicas, las organizaciones deben mantenerse a la vanguardia para proteger su infraestructura crítica. La batalla contra el ransomware está lejos de terminar, y mantenerse informado es el primer paso para salvaguardar sus activos digitales.