BlackByte ランサムウェアが VMware ESXi の欠陥を悪用し、新たなサイバー脅威の波を引き起こす
BlackByte ランサムウェアグループが戻ってきました。今回は、VMware ESXi ハイパーバイザーの新しく修正された脆弱性を悪用し、サイバーセキュリティ業界全体に警鐘を鳴らしています。ランサムウェア アズ ア サービス (RaaS) モデルで悪名高いこのグループは、この欠陥 (CVE-2024-37085) を利用してシステムを侵害し、攻撃戦略に大きな進化を遂げています。
目次
VMware ESXi の悪用: 危険な変化
最近の攻撃波では、BlackByte が VMware ESXi の認証バイパスの脆弱性を悪用し、攻撃者がハイパーバイザーの管理者権限を取得できることが確認されました。この脆弱性 (CVE-2024-37085) は、さまざまなランサムウェア グループによって武器化されていますが、BlackByte がこれを使用したことは、彼らの戦術の危険な転換を示しています。この欠陥を悪用することで、脅威アクターは権限を昇格し、システム ログに不正にアクセスし、仮想マシン (VM) を制御することができました。
初期アクセスに一般公開されている脆弱性を悪用することは、BlackByte にとって目新しいことではありません。しかし、最近、ブルートフォース攻撃によって取得したと思われる VPN アクセスを使用するようになったことは、BlackByte の適応型アプローチを浮き彫りにしています。有効な資格情報を利用して被害者の VPN にアクセスすることで、BlackByte は組織のエンドポイント検出および対応 (EDR) システムからの可視性を低減し、攻撃をさらにステルス化することに成功しています。
セキュリティを無効にする脆弱なドライバーの役割
BlackByte の攻撃戦略の重要な要素は、脆弱なドライバを使用してセキュリティ保護を無効にすることです。これは、「脆弱なドライバを持ち込む」(BYOVD) と呼ばれる手法です。BlackByte は最新の攻撃で、RtCore64.sys、DBUtil_2_3.sys、zamguard64.sys、gdrv.sys など、複数の脆弱なドライバを導入して、セキュリティ プロセスを終了し、制御をバイパスしました。この方法は検出を回避するのに非常に効果的であることが証明されており、ランサムウェアがネットワーク全体に急速に拡散します。
ランサムウェアの技術の進化
BlackByte がランサムウェア暗号化ツールで C# から Go、そして現在は C/C++ を使用するようになったのは、マルウェアの検出と分析に対する耐性を強化するための意図的な取り組みを反映しています。最新バージョンの BlackByteNT には、高度な分析防止およびデバッグ防止技術が組み込まれており、サイバーセキュリティの専門家にとって脅威に対抗することがより困難になっています。
この適応性は、最近の調査で明らかになったように、ランサムウェア グループに共通する幅広い傾向の一部です。Cisco Talos の発表は、Brain Cipher や RansomHub などの他のランサムウェアの戦術を詳細に説明した Group-IB の調査結果と並行して行われました。これらのグループは BlackByte と同様に、セキュリティ対策を先取りするために新しいプログラミング言語や技術を採用し、手法を進化させています。
進行中の脅威
専門、科学、技術サービス分野は、この種のランサムウェア攻撃に最もさらされている分野の一つであり、製造業や教育サービスも大きなリスクにさらされています。2021年10月にTrustwaveが復号ツールをリリースするなど、BlackByteに対抗するためのいくつかの取り組みにもかかわらず、このグループは暗号化前のデータ流出にExByteなどのカスタムツールを採用し、その活動を改良し続けています。
BlackByte やその他のランサムウェア グループが新たに公開された脆弱性を悪用するスピードは、彼らがもたらす脅威が常に存在することをはっきりと示しています。彼らが技術を適応させ、改良し続ける中、組織は警戒を怠らず、システムに速やかにパッチを適用し、進化する攻撃に対抗できるほどセキュリティ対策が堅牢であることを確認する必要があります。
最後に
BlackByte の最新の攻撃波は、積極的なサイバーセキュリティ対策の重要性を強調しています。BlackByte のようなランサムウェア グループは、新たな脆弱性や手法を利用して進化を続けているため、組織は重要なインフラストラクチャを保護するために常に先手を打つ必要があります。ランサムウェアとの戦いはまだまだ終わりに近づいており、情報を入手し続けることがデジタル資産を保護するための第一歩です。