Se ha observado que los actores de amenazas detrás del grupo de ransomware BlackByte probablemente explotan una falla de seguridad recientemente parcheada que afecta a los hipervisores VMware ESXi, al mismo tiempo que aprovechan varios controladores vulnerables para desarmar las protecciones de seguridad. «El grupo de ransomware BlackByte continúa aprovechando las tácticas, técnicas y procedimientos (TTP) que han formado la base de su oficio desde sus inicios, iterando continuamente su uso de controladores vulnerables para eludir las protecciones de seguridad e implementando un cifrador de ransomware autopropagado y gusanoble», dijo Cisco Talos en un informe técnico compartido con The Hacker News. La explotación de CVE-2024-37085, una vulnerabilidad de omisión de autenticación en VMware ESXi que también ha sido utilizada como arma por otros grupos de ransomware, es una señal de que el grupo de delitos electrónicos está cambiando de enfoques establecidos. BlackByte hizo su debut en la segunda mitad de 2021 y supuestamente es una de las variantes de ransomware que surgieron en los meses previos al cierre del infame grupo de ransomware Conti. El grupo de ransomware como servicio (RaaS) tiene un historial de explotación de vulnerabilidades de ProxyShell en Microsoft Exchange Server para obtener acceso inicial, evitando al mismo tiempo los sistemas que utilizan el ruso y varios idiomas de Europa del Este. Al igual que los grupos de RaaS, también aprovecha la doble extorsión como parte de los ataques, adoptando un enfoque de denuncia mediante un sitio de filtración de datos operado en la red oscura para presionar a las víctimas para que paguen. Hasta la fecha, se han observado múltiples variantes del ransomware, escritas en C, .NET y Go, circulando. Si bien Trustwave lanzó un descifrador para BlackByte en octubre de 2021, el grupo ha seguido perfeccionando su modus operandi, llegando incluso al extremo de emplear una herramienta personalizada llamada ExByte para la exfiltración de datos antes de comenzar el cifrado. Un aviso publicado por el gobierno de EE. UU. a principios de 2022 atribuyó al grupo RaaS a ataques con motivaciones financieras dirigidos a sectores de infraestructura crítica, incluidos los financieros, la alimentación y la agricultura y las instalaciones gubernamentales. Uno de los aspectos importantes de sus ataques es el uso de controladores vulnerables para terminar los procesos de seguridad y eludir los controles, una técnica conocida como Bring Your Own Vulnerable Driver (BYOVD). Cisco Talos, que investigó un reciente ataque de ransomware BlackByte, dijo que la intrusión probablemente se facilitó utilizando credenciales válidas para acceder a la VPN de la organización víctima. Se cree que el acceso inicial se obtuvo mediante un ataque de fuerza bruta. «Dado el historial de BlackByte de explotar vulnerabilidades públicas para el acceso inicial, el uso de VPN para acceso remoto puede representar un ligero cambio en la técnica o podría representar oportunismo», dijeron los investigadores de seguridad James Nutland, Craig Jackson, Terryn Valikodath y Brennan Evans. «El uso de la VPN de la víctima para el acceso remoto también ofrece al adversario otras ventajas, incluida una visibilidad reducida del EDR de la organización». Posteriormente, el actor de la amenaza logró escalar sus privilegios, utilizando los permisos para acceder al servidor VMware vCenter de la organización para crear y agregar nuevas cuentas a un grupo de Active Directory llamado ESX Admins. Talos afirmó que esto se hizo explotando CVE-2024-37085, que permite a un atacante obtener privilegios de administrador en el hipervisor creando un grupo con ese nombre y agregando a cualquier usuario. Este privilegio podría luego ser abusado para controlar máquinas virtuales (VM), modificar la configuración del servidor host y obtener acceso no autorizado a registros del sistema, diagnósticos y herramientas de monitoreo del rendimiento. Talos señaló que la explotación de la falla tuvo lugar a los pocos días de la divulgación pública, lo que destaca la velocidad a la que los actores de amenazas refinan sus tácticas para incorporar vulnerabilidades recientemente reveladas a su arsenal y avanzar en sus ataques. Además, los recientes ataques de BlackByte culminan con la reescritura de los archivos cifrados con la extensión de archivo «blackbytent_h», y el cifrador también deja caer cuatro controladores vulnerables como parte del ataque BYOVD. Los cuatro controladores siguen una convención de nomenclatura similar: ocho caracteres alfanuméricos aleatorios seguidos de un guión bajo y un valor numérico incremental: AM35W2PH (RtCore64.sys) AM35W2PH_1 (DBUtil_2_3.sys) AM35W2PH_2 (zamguard64.sys, también conocido como Terminator) AM35W2PH_3 (gdrv.sys) Los sectores de servicios profesionales, científicos y técnicos tienen la mayor exposición a los controladores vulnerables observados, lo que representa el 15% del total, seguido de la fabricación (13%) y los servicios educativos (13%). Talos también ha evaluado que el actor de amenazas probablemente sea más activo de lo que parece, y que solo un estimado del 20 al 30% de las víctimas se publican, aunque la razón exacta de esta disparidad sigue sin estar clara. «La evolución de BlackByte en los lenguajes de programación, desde C# a Go y posteriormente a C/C++ en la última versión de su cifrador, BlackByteNT, representa un esfuerzo deliberado por aumentar la resistencia del malware frente a la detección y el análisis», afirmaron los investigadores. «Los lenguajes complejos como C/C++ permiten la incorporación de técnicas avanzadas de antianálisis y antidepuración, que se han observado en las herramientas de BlackByte durante el análisis detallado realizado por otros investigadores de seguridad». La revelación se produce cuando Group-IB desveló las tácticas asociadas con otras dos cepas de ransomware rastreadas como Brain Cipher y RansomHub, lo que subraya las posibles conexiones de la primera con grupos de ransomware como EstateRansomware, SenSayQ y RebornRansomware. «Hay similitudes en términos de estilo y contenido de la nota de rescate de Brain Cipher con las del ransomware SenSayQ», afirmó la empresa de ciberseguridad de Singapur. «Los sitios web TOR del grupo de ransomware Brain Cipher y del grupo de ransomware SenSayQ utilizan tecnologías y scripts similares». Por otro lado, se ha observado que RansomHub recluta a antiguos afiliados de Scattered Spider, un detalle que salió a la luz por primera vez el mes pasado. La mayoría de los ataques se han dirigido a los sectores sanitario, financiero y gubernamental en Estados Unidos, Brasil, Italia, España y el Reino Unido. «Para el acceso inicial, los afiliados suelen comprar cuentas de dominio válidas comprometidas de los agentes de acceso inicial (IAB) y servicios remotos externos», dijo Group-IB, y agregó que las «cuentas se han adquirido a través del ladrón LummaC2». «Las tácticas de RansomHub incluyen el aprovechamiento de cuentas de dominio comprometidas y VPN públicas para el acceso inicial, seguido de la exfiltración de datos y procesos de cifrado extensos. Su reciente introducción de un programa de afiliados RaaS y el uso de pagos de rescate de alta demanda ilustran su enfoque evolutivo y agresivo». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.