BlackByte fidye yazılımı grubunun ardındaki tehdit aktörlerinin, VMware ESXi hipervizörlerini etkileyen yakın zamanda düzeltilen bir güvenlik açığını istismar ederken, güvenlik korumalarını etkisiz hale getirmek için çeşitli güvenlik açığı bulunan sürücülerden yararlandıkları gözlemlendi.
Cisco Talos, The Hacker News ile paylaştığı teknik raporda, “BlackByte fidye yazılımı grubu, kuruluşundan bu yana ticari zanaatının temelini oluşturan taktikleri, teknikleri ve prosedürleri (TTP’ler) kullanmaya devam ediyor, güvenlik korumalarını aşmak için savunmasız sürücülerin kullanımını sürekli olarak yineliyor ve kendi kendini yayan, solucana dönüşebilen bir fidye yazılımı şifreleyicisi dağıtıyor” dedi.
VMware ESXi’deki bir kimlik doğrulama atlama güvenlik açığı olan ve diğer fidye yazılımı grupları tarafından da kullanılan CVE-2024-37085’in istismar edilmesi, e-suç grubunun yerleşik yaklaşımlardan uzaklaştığının bir işareti.
BlackByte, 2021’in ikinci yarısında ortaya çıktı ve kötü şöhretli Conti fidye yazılımı ekibinin kapatılmasından önceki aylarda ortaya çıkan fidye yazılımı varyantlarından biri olduğu iddia ediliyor.
Fidye yazılımı hizmeti olarak (RaaS) grubunun, Rusça ve bazı Doğu Avrupa dillerini kullanan sistemlerden kaçınarak ilk erişimi elde etmek için Microsoft Exchange Server’daki ProxyShell güvenlik açıklarından yararlanma geçmişi bulunuyor.
RaaS grupları gibi, saldırıların bir parçası olarak çift gasptan da yararlanıyor ve karanlık web’de işletilen bir veri sızıntısı sitesi aracılığıyla kurbanları ödeme yapmaya zorlamak için bir isim ve utanç yaklaşımı benimsiyor. C, .NET ve Go’da yazılmış fidye yazılımının birden fazla çeşidi bugüne kadar vahşi doğada gözlemlendi.
Trustwave tarafından Ekim 2021’de BlackByte için bir şifre çözücü yayınlanmış olsa da grup, şifrelemeye başlamadan önce veri sızdırma için ExByte adlı özel bir araç kullanacak kadar ileri giderek çalışma biçimini geliştirmeye devam etti.
ABD hükümeti tarafından 2022 yılı başlarında yayımlanan bir duyuruda, RaaS grubunun finans, gıda ve tarım ile hükümet tesisleri gibi kritik altyapı sektörlerini hedef alan finansal amaçlı saldırılarla ilişkilendirildiği belirtiliyordu.
Saldırılarının önemli yönlerinden biri, güvenlik süreçlerini sonlandırmak ve kontrolleri aşmak için savunmasız sürücülerin kullanılmasıdır; bu teknik, kendi savunmasız sürücünüzü getirin (BYOVD) olarak bilinir.
Son BlackByte fidye yazılımı saldırısını araştıran Cisco Talos, saldırının kurban kuruluşun VPN’ine erişmek için geçerli kimlik bilgileri kullanılarak kolaylaştırılmış olabileceğini söyledi. İlk erişimin kaba kuvvet saldırısıyla elde edildiğine inanılıyor.
“BlackByte’ın ilk erişim için kamuya açık güvenlik açıklarını kullanma geçmişi göz önüne alındığında, uzaktan erişim için VPN kullanımı teknikte ufak bir değişiklik veya fırsatçılık anlamına gelebilir,” diyor güvenlik araştırmacıları James Nutland, Craig Jackson, Terryn Valikodath ve Brennan Evans. “Kurtarıcının VPN’inin uzaktan erişim için kullanılması, saldırgana kuruluşun EDR’sinden daha az görünürlük gibi başka avantajlar da sağlıyor.”
Tehdit aktörü daha sonra ayrıcalıklarını yükseltmeyi başardı ve kuruluşun VMware vCenter sunucusuna erişim izinlerini kullanarak ESX Admins adlı bir Active Directory grubuna yeni hesaplar oluşturdu ve ekledi. Talos, bunun, bir saldırganın bu isimde bir grup oluşturarak ve herhangi bir kullanıcıyı ekleyerek hipervizörde yönetici ayrıcalıkları elde etmesini sağlayan CVE-2024-37085’i kullanarak yapıldığını söyledi.
Bu ayrıcalık daha sonra sanal makineleri (VM) kontrol etmek, ana sunucunun yapılandırmasını değiştirmek ve sistem günlüklerine, tanılamalara ve performans izleme araçlarına yetkisiz erişim elde etmek için kötüye kullanılabilir.
Talos, açığın kamuoyuna açıklanmasından birkaç gün sonra istismar edildiğini belirterek, tehdit aktörlerinin yeni ortaya çıkan güvenlik açıklarını kendi cephaneliklerine dahil etmek ve saldırılarını ilerletmek için taktiklerini ne kadar hızlı geliştirdiklerini vurguladı.
Ayrıca, son BlackByte saldırıları, şifrelenmiş dosyaların “blackbytent_h” dosya uzantısıyla yeniden yazılmasıyla doruğa ulaşır ve şifreleyici ayrıca BYOVD saldırısının bir parçası olarak dört savunmasız sürücüyü düşürür. Dört sürücünün hepsi benzer bir adlandırma kuralını izler: Sekiz rastgele alfanümerik karakter, ardından bir alt çizgi ve artımlı bir sayısal değer –
- AM35W2PH (RtCore64.sys)
- AM35W2PH_1 (DBUtil_2_3.sys)
- AM35W2PH_2 (zamguard64.sys diğer adıyla Terminator)
- AM35W2PH_3 (gdrv.sys)
Profesyonel, bilimsel ve teknik hizmet sektörleri, toplamın %15’ini oluşturan gözlemlenen savunmasız sürücülere en fazla maruz kalan sektörlerdir, bunu imalat (%13) ve eğitim hizmetleri (%13) takip eder. Talos ayrıca tehdit aktörünün göründüğünden daha aktif olma olasılığını değerlendirdi ve mağdurların yalnızca tahmini %20-30’unun kamuya açık olarak yayınlandığını, ancak bu farklılığın kesin nedeninin belirsizliğini koruduğunu belirtti.
Araştırmacılar, “BlackByte’ın programlama dillerinde C#’dan Go’ya ve ardından şifreleyicisinin son sürümü olan BlackByteNT’de C/C++’a doğru ilerlemesi, kötü amaçlı yazılımın tespit ve analize karşı dayanıklılığını artırmak için bilinçli bir çabayı temsil ediyor” dedi.
“C/C++ gibi karmaşık diller, diğer güvenlik araştırmacıları tarafından yapılan detaylı analizler sırasında BlackByte araçlarında gözlemlenen gelişmiş anti-analiz ve anti-hata ayıklama tekniklerinin dahil edilmesine olanak tanır.”
Açıklama, Group-IB’nin Brain Cipher ve RansomHub olarak takip edilen diğer iki fidye yazılımı türüyle ilişkili taktikleri açığa çıkarmasının ardından geldi ve Brain Cipher’ın EstateRansomware, SenSayQ ve RebornRansomware gibi fidye yazılımı gruplarıyla potansiyel bağlantılarını vurguladı.
Singapurlu siber güvenlik şirketi, “Brain Cipher’ın fidye notunun tarzı ve içeriği SenSayQ fidye yazılımınınkilerle benzerlikler taşıyor” dedi. “Brain Cipher fidye yazılımı grubunun ve SenSayQ fidye yazılımı grubunun TOR web siteleri benzer teknolojiler ve betikler kullanıyor.”
Öte yandan RansomHub’ın Scattered Spider’ın eski iştiraklerini işe aldığı gözlemlendi, bu ayrıntı ilk olarak geçen ay gün yüzüne çıktı. Saldırıların çoğu ABD, Brezilya, İtalya, İspanya ve İngiltere’deki sağlık, finans ve hükümet sektörlerini hedef aldı
Group-IB, “İlk erişim için iştirakçiler genellikle İlk Erişim Aracılarından (IAB’ler) ve harici uzak hizmetlerden tehlikeye atılmış geçerli alan adı hesapları satın alıyorlar” dedi ve “hesapların LummaC2 hırsızı aracılığıyla edinildiğini” ekledi.
“RansomHub’ın taktikleri arasında ilk erişim için tehlikeye atılmış alan adı hesaplarını ve genel VPN’leri kullanmak, ardından veri sızdırma ve kapsamlı şifreleme süreçleri yer alıyor. Yakın zamanda bir RaaS iştirak programını başlatmaları ve yüksek talep gören fidye ödemelerini kullanmaları, gelişen ve agresif yaklaşımlarını gösteriyor.”