Los operadores del ransomware BlackByte han encontrado una manera de explotar una vulnerabilidad en los hipervisores VMware ESXi, a pesar de que ya fue parcheada recientemente. Este fallo, identificado como CVE-2024-37085, ha sido aprovechado en una serie de ataques que tienen a muchas organizaciones preocupadas por la seguridad de sus infraestructuras virtualizadas.
A finales de julio, Microsoft lanzó una alerta sobre esta vulnerabilidad, advirtiendo que varias bandas de ransomware estaban activamente explotándola para obtener control administrativo completo sobre los hipervisores ESXi conectados a un dominio. BlackByte, en particular, ha estado utilizando el acceso remoto existente de las víctimas para desplegar una nueva versión de su cifrador, la cual añade la extensión “blackbytent_h” a los archivos cifrados, junto con el uso de controladores vulnerables y credenciales de Active Directory de las víctimas para propagarse por la red.
Este grupo de ransomware, que ha estado activo desde al menos 2021, opera como un servicio (RaaS) y ha perfeccionado sus métodos para evadir la seguridad y maximizar el daño. Durante un reciente ataque, lograron comprometer las cuentas de administrador de dominio de una organización, lo que les permitió acceder al servidor VMware vCenter y explotar la vulnerabilidad CVE-2024-37085 para tomar el control de las máquinas virtuales.
Lo que hace aún más alarmante este ataque es que BlackByte ha mostrado la capacidad de moverse lateralmente dentro de la red, desactivar herramientas de seguridad, y cambiar contraseñas raíz en los hosts ESXi. Justo antes de comenzar con el cifrado de archivos, los atacantes incrementaron la actividad de autenticación NTLM y Server Message Block (SMB), lo que apunta a la capacidad del ransomware para autopropagarse.
Un detalle interesante observado en estos ataques recientes es que los archivos cifrados se renombraron con una nueva extensión “blackbytent_h”, y se utilizaron hasta cuatro controladores vulnerables en lugar de los dos o tres típicos, lo que indica una evolución en las técnicas de ataque de BlackByte. Además, el grupo parece enfocarse en la industria manufacturera, con más del 32% de sus víctimas conocidas provenientes de este sector.
Nota de Rescate de Blackbyte
BlackByte ha estado perfeccionando su arsenal, pasando de programar su ransomware en C# a usar Go, y ahora, en su última versión, han recurrido a C/C++. Este cambio no es casualidad; es una estrategia calculada para hacer que su malware sea más difícil de detectar y analizar. Con lenguajes como C/C++, pueden implementar técnicas sofisticadas que complican aún más la labor de quienes intentan detenerlo. Además, la capacidad de autopropagación de su cifrador añade una capa extra de complejidad para quienes están en la primera línea de defensa.
Podría interesarte leer: Hackers de APT-60 Explotan Falla en WPS Office para Desplegar Backdoor
Conclusión
La creciente sofisticación de BlackByte, desde su capacidad para explotar vulnerabilidades recientemente parcheadas hasta su evolución en técnicas de programación, pone de relieve lo crucial que es mantenerse un paso adelante en la ciberseguridad. No basta con aplicar parches y cruzar los dedos; los atacantes también están mejorando constantemente sus técnicas. Para protegernos de amenazas como esta, necesitamos un enfoque que vaya más allá de la simple reacción: debemos ser proactivos en nuestras defensas y mantenernos informados.
En TecnetOne, entendemos lo que está en juego. Ofrecemos soluciones de ciberseguridad diseñadas para enfrentar estos desafíos, así como de backups sólidos que aseguran que tu negocio pueda continuar sin interrupciones, incluso en situaciones críticas. No importa si necesitas mejorar tus medidas de seguridad, garantizar que tus datos estén bien respaldados, o simplemente estar mejor preparado para lo que pueda venir, en TecnetOne estamos aquí para ayudarte.