Le ransomware BlackByte exploite une faille VMware ESXi et déclenche une nouvelle vague de cybermenaces
Le groupe de ransomware BlackByte est de retour et, cette fois, il exploite une vulnérabilité récemment corrigée dans les hyperviseurs VMware ESXi, suscitant l'inquiétude dans le paysage de la cybersécurité. Le groupe, connu pour son modèle de ransomware-as-a-service (RaaS), a exploité cette faille (CVE-2024-37085) pour compromettre les systèmes, marquant une évolution significative dans sa stratégie d'attaque.
Table des matières
Exploiter VMware ESXi : un changement dangereux
Lors d'une récente vague d'attaques, BlackByte a été observé en train d'exploiter une vulnérabilité de contournement d'authentification dans VMware ESXi, qui permet aux attaquants d'obtenir des privilèges d'administrateur sur l'hyperviseur. Cette vulnérabilité, CVE-2024-37085, a été utilisée par divers groupes de ransomware, mais l'utilisation de cette vulnérabilité par BlackByte signale un tournant dangereux dans leurs tactiques. En exploitant cette faille, les acteurs de la menace ont pu augmenter leurs privilèges, obtenir un accès non autorisé aux journaux système et contrôler les machines virtuelles (VM).
L'exploitation des vulnérabilités publiques pour un accès initial n'est pas une nouveauté pour BlackByte. Cependant, leur passage récent à l'utilisation d'un accès VPN, probablement obtenu par des attaques par force brute, met en évidence leur approche adaptative. En exploitant des informations d'identification valides pour accéder au VPN d'une victime, BlackByte a réussi à réduire la visibilité des systèmes de détection et de réponse aux points d'extrémité (EDR) de l'organisation, rendant leurs attaques encore plus furtives.
Le rôle des facteurs vulnérables dans la désactivation de la sécurité
L'un des éléments clés de la stratégie d'attaque de BlackByte consiste à utiliser des pilotes vulnérables pour désactiver les protections de sécurité, une technique connue sous le nom de « Bring Your Own Vulnerable Driver » (BYOVD). Lors de sa dernière attaque, BlackByte a déployé plusieurs pilotes vulnérables, notamment RtCore64.sys, DBUtil_2_3.sys, zamguard64.sys et gdrv.sys, pour mettre fin aux processus de sécurité et contourner les contrôles. Cette méthode s'est avérée très efficace pour échapper à la détection, permettant au ransomware de se propager rapidement sur les réseaux.
Evolution des techniques de ransomware
L'évolution de BlackByte, passant de C# à Go, puis à C/C++, dans son crypteur de ransomwares reflète un effort délibéré pour améliorer la résilience du malware face à la détection et à l'analyse. La dernière version, BlackByteNT, intègre des techniques avancées d'anti-analyse et d'anti-débogage, ce qui rend la tâche plus difficile pour les professionnels de la cybersécurité de contrer la menace.
Cette adaptabilité s’inscrit dans une tendance plus large des groupes de ransomware, comme le soulignent des recherches récentes. Les révélations de Cisco Talos s’ajoutent aux conclusions de Group-IB, qui ont détaillé les tactiques d’autres souches de ransomware comme Brain Cipher et RansomHub. Ces groupes, à l’instar de BlackByte, ont fait évoluer leurs méthodes, adoptant de nouveaux langages de programmation et de nouvelles techniques pour garder une longueur d’avance sur les mesures de sécurité.
La menace permanente
Les secteurs des services professionnels, scientifiques et techniques sont parmi les plus exposés à ce type d’attaques par ransomware, les secteurs de la fabrication et de l’éducation étant également exposés à un risque important. Malgré certains efforts pour lutter contre BlackByte, comme la publication d’un décrypteur par Trustwave en octobre 2021, le groupe a continué à affiner ses opérations, en utilisant des outils personnalisés comme ExByte pour l’exfiltration des données avant le chiffrement.
La vitesse à laquelle BlackByte et d’autres groupes de ransomware exploitent les vulnérabilités récemment découvertes est un rappel brutal de la menace omniprésente qu’ils représentent. Alors qu’elles continuent d’adapter et d’affiner leurs techniques, les entreprises doivent rester vigilantes, s’assurer que leurs systèmes sont rapidement corrigés et que les mesures de sécurité sont suffisamment robustes pour contrer ces attaques en constante évolution.
Réflexions finales
La dernière vague d'attaques de BlackByte souligne l'importance des mesures proactives de cybersécurité. Alors que les groupes de ransomware comme BlackByte continuent d'évoluer, exploitant de nouvelles vulnérabilités et techniques, les entreprises doivent garder une longueur d'avance pour protéger leur infrastructure critique. La bataille contre les ransomwares est loin d'être terminée, et rester informé est la première étape pour protéger vos actifs numériques.