El grupo de ransomware BlackByte ha estado evolucionando sus tácticas y procedimientos para evadir medidas de seguridad y desplegar un encriptador de ransomware auto-propagado y gusano. Cisco Talos señaló que BlackByte ha estado explotando la vulnerabilidad CVE-2024-37085 en VMware ESXi, indicando un cambio en sus enfoques establecidos.
BlackByte, una ramificación autónoma de ransomware que surgió en la segunda mitad de 2021, ha sido conocida por explotar vulnerabilidades ProxyShell en Microsoft Exchange Server. Además, el grupo ha estado utilizando extorsión doble y ha evitado sistemas que utilizan idiomas rusos y de Europa del Este.
A pesar de que Trustwave lanzó un descifrador para BlackByte en octubre de 2021, el grupo ha continuado perfeccionando sus tácticas. Un aviso emitido por el gobierno de EE. UU. atribuyó a BlackByte ataques dirigidos a sectores de infraestructura crítica, utilización de controladores vulnerables para evadir controles y terminar procesos de seguridad.
Recientemente, BlackByte ha explotado una vulnerabilidad en VMware ESXi, utilizando credenciales válidas para acceder a la VPN de la organización víctima. Esta explotación permitió a los atacantes obtener privilegios de administrador en el hipervisor, lo que les dio acceso no autorizado a máquinas virtuales y registros del sistema.
Además, BlackByte ha evolucionado en lenguajes de programación desde C# a Go y, posteriormente, a C/C++. Esta progresión representa un esfuerzo deliberado para aumentar la resistencia del malware contra la detección y el análisis. También se han observado similitudes entre las tácticas de BlackByte y otras cepas de ransomware como Brain Cipher y RansomHub.
El análisis de Group-IB identificó posibles conexiones entre las tácticas de Brain Cipher con otros grupos de ransomware. Por otro lado, RansomHub reclutó antiguos afiliados de Scattered Spider y ha dirigido la mayoría de los ataques a sectores de la salud, financiero y gubernamental en varios países.
En resumen, BlackByte ha estado evolucionando y refinando continuamente sus tácticas y procedimientos para mejorar su capacidad de evasión y causar estragos en diversos sectores en varios países.
Vía The Hacker News
