Die Bedrohungsakteure hinter der BlackByte-Ransomware-Gruppe wurden wahrscheinlich bei der Ausnutzung einer kürzlich gepatchten Sicherheitslücke beobachtet, die sich auf VMware ESXi-Hypervisoren auswirkt, während sie gleichzeitig verschiedene anfällige Treiber einsetzen, um Sicherheitsmaßnahmen zu deaktivieren.
„Die BlackByte-Ransomware-Gruppe setzt weiterhin Taktiken, Techniken und Verfahren (TTPs) ein, die seit ihrer Gründung die Grundlage ihrer Handwerkskunst bilden, und iteriert kontinuierlich ihre Verwendung anfälliger Treiber, um Sicherheitsmaßnahmen zu umgehen und einen sich selbst verbreitenden, wurmartigen Ransomware-Verschlüsselungsprogramm einzusetzen“, sagte Cisco Talos in einem technischen Bericht, der The Hacker News zur Verfügung gestellt wurde.
Die Ausnutzung von CVE-2024-37085, einer Authentifizierungs-Bypass-Schwachstelle in VMware ESXi, die auch von anderen Ransomware-Gruppen eingesetzt wurde, ist ein Zeichen dafür, dass die E-Crime-Gruppe von etablierten Ansätzen abweicht.
BlackByte debütierte in der zweiten Hälfte des Jahres 2021 und soll eine der Ransomware-Varianten sein, die in den Monaten vor der Schließung der berüchtigten Conti-Ransomware-Crew entstanden sind.
Die Ransomware-as-a-Service (RaaS)-Gruppe hat eine Geschichte der Ausnutzung von ProxyShell-Schwachstellen in Microsoft Exchange Server, um anfänglichen Zugriff zu erhalten, während Systeme vermieden werden, die russische und eine Reihe osteuropäischer Sprachen verwenden.
Wie RaaS-Gruppen nutzt sie auch Doppelte Erpressung als Teil von Angriffen und verfolgt einen Nenn-und-Schäm-Ansatz über eine im Dark Web betriebene Datenleckstelle, um Opfer unter Druck zu setzen, zu zahlen. Bis heute wurden mehrere Varianten der Ransomware, die in C, .NET und Go geschrieben wurden, in freier Wildbahn beobachtet.
Obwohl Trustwave im Oktober 2021 einen Entschlüsseler für BlackByte veröffentlichte, hat die Gruppe ihre Arbeitsweise weiter verfeinert und sogar ein benutzerdefiniertes Tool namens ExByte für die Datenexfiltration eingesetzt, bevor mit der Verschlüsselung begonnen wurde.
In einer im frühen Jahr 2022 veröffentlichten Empfehlung der US-Regierung wurden die RaaS-Gruppe finanziell motivierten Angriffen auf kritische Infrastrukturbereiche zugeschrieben, darunter Finanzdienstleistungen, Lebensmittel und Landwirtschaft sowie staatliche Einrichtungen.
Einer der wichtigen Aspekte ihrer Angriffe ist die Verwendung anfälliger Treiber, um Sicherheitsprozesse zu beenden und Kontrollen zu umgehen, eine Technik, die als Bring Your Own Vulnerable Driver (BYOVD) bekannt ist.
Cisco Talos, das einen jüngsten BlackByte-Ransomware-Angriff untersuchte, sagte, dass der Einbruch wahrscheinlich mit gültigen Anmeldeinformationen erleichtert wurde, um auf das VPN der Opferorganisation zuzugreifen. Es wird vermutet, dass der erste Zugriff durch einen Brute-Force-Angriff erlangt wurde.
„Angesichts der Geschichte von BlackByte, öffentlich zugängliche Sicherheitslücken für den ersten Zugriff auszunutzen, kann die Verwendung von VPN für den Fernzugriff eine leichte Verschiebung der Technik darstellen oder Opportunismus widerspiegeln“, sagten die Sicherheitsforscher James Nutland, Craig Jackson, Terryn Valikodath und Brennan Evans. „Die Verwendung des VPN des Opfers für den Fernzugriff bietet dem Angreifer auch andere Vorteile, darunter eine geringere Sichtbarkeit von der EDR der Organisation.“
Der Bedrohungsakteur konnte anschließend seine Berechtigungen eskalieren und die Berechtigungen nutzen, um auf den VMware vCenter-Server der Organisation zuzugreifen, um neue Konten in einer Active Directory-Gruppe namens ESX Admins zu erstellen und hinzuzufügen. Dies, sagte Talos, geschah durch die Ausnutzung von CVE-2024-37085, die es einem Angreifer ermöglicht, Administratorrechte auf dem Hypervisor zu erlangen, indem er eine Gruppe mit diesem Namen erstellt und einen beliebigen Benutzer zu dieser Gruppe hinzufügt.
Dieses Privileg könnte dann missbraucht werden, um virtuelle Maschinen (VMs) zu steuern, die Konfiguration des Host-Servers zu ändern und unbefugten Zugriff auf Systemprotokolle, Diagnosen und Tools zur Leistungsmessung zu erhalten.
Talos wies darauf hin, dass die Ausnutzung der Schwachstelle innerhalb weniger Tage nach der öffentlichen Offenlegung erfolgte, was die Geschwindigkeit unterstreicht, mit der Bedrohungsakteure ihre Taktiken verfeinern, um neu offengelegte Schwachstellen in ihr Arsenal zu integrieren und ihre Angriffe voranzutreiben.
Darüber hinaus gipfeln die jüngsten BlackByte-Angriffe darin, dass die verschlüsselten Dateien mit der Dateierweiterung „blackbytent_h“ überschrieben werden, wobei der Verschlüsselungsprogramm auch vier anfällige Treiber als Teil des BYOVD-Angriffs ablegt. Alle vier Treiber folgen einer ähnlichen Benennungskonvention: Acht zufällige alphanumerische Zeichen gefolgt von einem Unterstrich und einem inkrementellen Zahlenwert –
AM35W2PH (RtCore64.sys)
AM35W2PH_1 (DBUtil_2_3.sys)
AM35W2PH_2 (zamguard64.sys aka Terminator)
AM35W2PH_3 (gdrv.sys)
Die Sektoren für professionelle, wissenschaftliche und technische Dienstleistungen sind am stärksten den beobachteten anfälligen Treibern ausgesetzt und machen 15% des Gesamtanteils aus, gefolgt vom verarbeitenden Gewerbe (13%) und dem Bildungswesen (13%). Talos hat auch festgestellt, dass der Bedrohungsakteur wahrscheinlich aktiver ist, als er scheint, und dass nur schätzungsweise 20-30% der Opfer öffentlich bekannt gegeben werden, obwohl der genaue Grund für diese Diskrepanz unklar bleibt.
„Die Weiterentwicklung von BlackByte in Programmiersprachen von C# über Go bis hin zu C/C++ in der neuesten Version des Verschlüsselungsprogramms – BlackByteNT – stellt eine bewusste Anstrengung dar, die Widerstandsfähigkeit der Malware gegen Erkennung und Analyse zu erhöhen“, sagten die Forscher.
„Komplexe Sprachen wie C/C++ ermöglichen die Einbindung von fortschrittlichen Anti-Analyse- und Anti-Debugging-Techniken, die bei der detaillierten Analyse der BlackByte-Tools durch andere Sicherheitsforscher beobachtet wurden.“
Die Offenlegung erfolgt, nachdem Group-IB die Taktiken aufgedeckt hat, die mit zwei anderen Ransomware-Stämmen verbunden sind, die als Brain Cipher und RansomHub verfolgt werden, was die potenziellen Verbindungen des ersteren mit Ransomware-Gruppen wie EstateRansomware, SenSayQ und RebornRansomware unterstreicht.
„Es gibt Ähnlichkeiten in Bezug auf den Stil und den Inhalt des Lösegeldscheins von Brain Cipher mit denen von SenSayQ-Ransomware“, sagte das singapurische Cybersicherheitsunternehmen. „Die TOR-Websites der Brain Cipher Ransomware Group und der SenSayQ Ransomware Group verwenden ähnliche Technologien und Skripte.“
RansomHub hingegen wurde beim Rekrutieren ehemaliger Partner von Scattered Spider beobachtet, ein Detail, das erstmals im letzten Monat ans Licht kam. Die meisten Angriffe haben sich auf die Sektoren Gesundheitswesen, Finanzen und Behörden in den USA, Brasilien, Italien, Spanien und Großbritannien konzentriert.
„Für den ersten Zugriff kaufen die Partner in der Regel kompromittierte gültige Domain-Konten von Initial Access Brokern (IABs) und externen Ferndiensten“, sagte Group-IB und fügte hinzu, dass „die Konten über LummaC2-Stealer erworben wurden.“
„Die Taktiken von RansomHub umfassen die Nutzung kompromittierter Domain-Konten und öffentlicher VPNs für den ersten Zugriff, gefolgt von Datenexfiltration und umfangreichen Verschlüsselungsprozessen. Die jüngste Einführung eines RaaS-Partnerprogramms und die Verwendung von stark nachgefragten Lösegeldbeträgen veranschaulichen ihren sich entwickelnden und aggressiven Ansatz.“