BlackByte Ransomware: Exploração de Vulnerabilidade no VMware ESXi

O grupo de ransomware BlackByte é conhecido por utilizar táticas sofisticadas para contornar sistemas de segurança. Em uma recente onda de ataques, eles exploraram a vulnerabilidade CVE-2024-37085 no VMware ESXi, uma falha crítica que permite a execução de código remoto em servidores de virtualização. Ao invés de utilizar ferramentas comerciais tradicionais como o AnyDesk, o grupo usou o acesso remoto autorizado pela vítima, demonstrando um desvio em suas táticas usuais.

O BlackByte utiliza a técnica Bring Your Own Vulnerable Driver (BYOVD), aproveitando drivers vulneráveis como o RtCore64.sys e o zamguard64.sys para desativar proteções de segurança e facilitar a propagação de seu ransomware. Os ataques foram altamente direcionados, com setores de manufatura sendo os mais atingidos​. Além disso, o grupo demonstrou uma rápida adaptação ao incorporar novas vulnerabilidades logo após sua divulgação pública, mostrando um nível elevado de sofisticação em seus métodos de ataque. Entre suas técnicas, destacam-se o uso de credenciais válidas para acesso inicial a VPNs, a movimentação lateral dentro das redes através do protocolo SMB e a instalação de ransomware com características de "worm", que se espalha automaticamente entre os sistemas comprometidos​. As recomendações para mitigar ataques incluem a implementação de autenticação multifator (MFA), auditorias de configurações de VPN, limitação ou desativação do NTLM e a implantação de soluções de EDR em todos os sistemas da rede. Fonte: https://blog.talosintelligence.com/blackbyte-blends-tried-and-true-tradecraft-with-newly-disclosed-vulnerabilities-to-support-ongoing-attacks/ https://thehackernews.com/2024/08/blackbyte-ransomware-exploits-vmware.html#:~:text=BlackByte%20Ransomware%20Exploits%20VMware%20ESXi%20Flaw%20in%20Latest%20Attack%20Wave,-%EE%A0%82Aug%2028&text=The%20threat%20actors%20behind%20the,drivers%20to%20disarm%20security%20protections.