El grupo de ransomware BlackByte, que se cree que es una escisión del infame grupo Conti, ha sido observado por expertos en ciberseguridad explotando una vulnerabilidad de VMware ESXi recientemente revelada para obtener el control sobre máquinas virtuales y escalar privilegios dentro de entornos comprometidos. El pivote, descubierto por Cisco Talos Incident Response, muestra la capacidad de BlackByte para integrar rápidamente nuevas vulnerabilidades en su conjunto de herramientas. Explotación de la vulnerabilidad ESXi Se ha observado que BlackByte aprovecha CVE-2024-37085, una vulnerabilidad de omisión de autenticación en VMware ESXi, lo que permite a los atacantes obtener acceso administrativo completo a los hipervisores. Según Callie Guenther, gerente senior de Critical Start, este enfoque marca una desviación significativa de las técnicas tradicionales de BlackByte, como la explotación de vulnerabilidades conocidas en software ampliamente utilizado como Microsoft Exchange o el uso de ataques de phishing y fuerza bruta. “Al explotar CVE-2024-37085, BlackByte está demostrando una capacidad para integrar rápidamente nuevas vulnerabilidades en su conjunto de herramientas, alejándose de depender exclusivamente de técnicas antiguas y bien conocidas”, dijo Guenther. “Los hipervisores VMware ESXi son críticos en muchos entornos empresariales, a menudo alojan múltiples máquinas virtuales que ejecutan aplicaciones comerciales vitales. Apuntar a dicha infraestructura permite a los atacantes causar una interrupción significativa, lo que aumenta la presión sobre las víctimas para que paguen el rescate”. Técnicas sofisticadas de ransomware Una vez dentro de la red, BlackByte aumenta rápidamente los privilegios, a menudo creando y manipulando objetos de dominio de Active Directory para obtener el control de sistemas críticos. El uso por parte del grupo de técnicas «Bring Your Own Vulnerable Driver» (BYOVD), donde implementan controladores obsoletos o defectuosos para deshabilitar las herramientas de seguridad, complica aún más los esfuerzos de detección y remediación. La última variante de ransomware observada por Talos Incident Response utilizó credenciales integradas robadas a las víctimas, lo que demuestra un alto grado de personalización y un movimiento hacia medidas anti-análisis más complejas. Lea más sobre las tácticas cambiantes del ransomware: Construyendo resiliencia contra los ataques DDoS y ransomware cambiantes Heath Renfrow, cofundador de Fenix24, señaló que al explotar esta vulnerabilidad, «los atacantes obtienen privilegios administrativos sobre el hipervisor ESXi», lo que les da control sobre múltiples máquinas virtuales, lo que aumenta el impacto general del ataque. Este nivel de acceso permite un movimiento lateral sin problemas, la exfiltración de datos y la implementación de ransomware en infraestructura crítica. Implicaciones para los defensores de la ciberseguridad Según los expertos en seguridad, la rápida adaptación de BlackByte a las vulnerabilidades emergentes subraya los desafíos que enfrentan los defensores de la seguridad. Darren Guccione, CEO de Keeper Security, enfatizó la importancia de endurecer y parchar sistemas críticos como ESXi para abordar las vulnerabilidades rápidamente. «La evolución de BlackByte al uso de lenguajes de programación avanzados como C/C++ en su último cifrador, BlackByteNT, refleja su intención de hacer que su malware sea más resistente a la detección y el análisis con sofisticadas técnicas anti-análisis y anti-depuración», explicó Guccione. “Para defenderse de estas amenazas es necesario reforzar y aplicar parches regularmente a los hosts ESXi para abordar las vulnerabilidades rápidamente”. Para contrarrestar estas amenazas, los expertos también recomiendan implementar la autenticación multifactor (MFA), auditar las configuraciones de VPN, monitorear de cerca el acceso privilegiado y deshabilitar las cuentas de proveedores no utilizadas. Crédito de la imagen: T. Schneider / Shutterstock.com