BlackByte 勒索病毒团伙的新攻击手段

重点总结

• 策略变更 ：BlackByte 采用新漏洞（CVE-2024-37085）攻击 VMware ESXi，偏离了其以往的攻击模式。
• 攻击方式 ：通常利用已知漏洞进行攻击，但此次利用认证绕过漏洞需要更高的持续性。
• 影响力 ：此次攻击利用企业中重要的虚拟化平台，可能导致重大业务中断，增加受害者支付赎金的压力。

近期，BlackByte 勒索病毒团伙 被发现利用 VMware ESXi中的最新认证绕过漏洞，这一技术与该团伙以往的作战方式有所不同。的研究人员在 8 月 28 日的博客中指出，BlackByte 被认为是 的分支，通常会使用脆弱的驱动程序绕过安全控制，包括部署自我传播的勒索病毒和利用“已知良好”的系统二进制文件及其他合法商业工具。

Austin Berglas，BlueVoyant的全球专业服务负责人，解释道，此次攻击不同之处在于被利用的漏洞————是从攻击已知漏洞转变为针对一种新漏洞的攻击，该漏洞于 7 月 30 日被列入 [CISA 的已知利用漏洞 (KEV) 目录](https://www.cisa.gov/known-exploited- vulnerabilities- catalog?search_api_fulltext=CVE-2024-37085&field_date_added_wrapper=all&field_cve=&sort_by=field_date_added&items_per_page=20&url=)。

Berglas 表示：“对 CVE-2024-37085的利用可能是对正常攻击策略的转变，包括网络钓鱼、恶意软件分发、暴力破解攻击和凭证填充。尽管利用已知漏洞一直是这些团伙的常用工具，但在 VMware中利用认证绕过漏洞需要比以往更高的持续性。”

通常情况下，组织会获得“初始访问权限”，并将该访问权限出售给其合作伙伴进行进一步的利用。这次攻击更深入，旨在建立立足点、横向移动并提升权限，最终获得管理访问权限。

Berglas 说：“这更像是APT类型的攻击。通过从既定方法转向利用 VMware ESXi 中的新 CVE-2024-37085漏洞，电子犯罪团伙正在调整其战术，以利用新发现的弱点，可能使他们的攻击更有效、预测更困难或防御更具挑战性。”

Critical Start 的网络威胁研究高级经理 Callie Guenther 也补充道，BlackByte和类似团伙常常依赖于利用广泛使用软件中的已知漏洞，或利用网络钓鱼和暴力破解攻击来获得访问权限。

Guenther 作为 ，指出这些团伙之前使用 Web Shell、Cobalt Strike，以及像 Mimikatz这样的凭证窃取工具，在网络中横向移动并提升在被攻破环境中的权限。

“这种转变表明，他们愿意采用尖端的方法来提升攻击的有效性，”Guenther 说。“VMware ESXi虚拟机管理程序在许多企业环境中至关重要，通常托管多个运行重要业务应用程序的虚拟机。针对这样的基础设施，攻击者可以造成重大干扰，从而增加受害者支付赎金的压力。”