Negli ultimi mesi il gruppo ransomware BlackByte ha dimostrato una notevole capacità di adattamento e innovazione, combinando tecniche di attacco consolidate con l’uso di vulnerabilità recentemente divulgate. Secondo le recenti indagini di Cisco Talos, questo approccio ha permesso loro di intensificare gli attacchi e di eludere le misure di sicurezza più avanzate contro oltre il 32% delle vittime note nel settore manifatturiero.
L’utilizzo di vulnerabilità recenti
Uno degli esempi più significativi di questa strategia è l’uso della vulnerabilità CVE-2024-37085, una falla di bypass dell’autenticazione in VMware ESXi. Poco dopo la sua divulgazione, BlackByte ha iniziato a sfruttarla per compromettere i sistemi target. Questo rappresenta un cambiamento rispetto alle loro tecniche tradizionali, che includevano principalmente phishing e distribuzione di malware.
Evoluzione delle tecniche di attacco
Oltre a sfruttare nuove vulnerabilità, BlackByte ha introdotto una nuova variante del loro encryptor di file. Questa variante utilizza estensioni di file diverse e metodi di propagazione migliorati, rendendo più difficile per le vittime recuperare i dati senza pagare il riscatto. Inoltre, il gruppo ha iniziato a utilizzare credenziali di Active Directory rubate per auto-propagare il ransomware all’interno delle reti aziendali, aumentando così la velocità e l’efficacia degli attacchi.
Ransomware-as-a-Service (RaaS)
BlackByte (“che si ritiene sia una propaggine del famigerato gruppo ransomware Conti”, secondo Cisco Talos) opera come un servizio di ransomware-as-a-service (RaaS), offrendo le loro capacità di attacco a terzi in cambio di una quota dei profitti. Questo modello di business ha permesso loro di espandere rapidamente la loro portata e di aumentare il numero di attacchi.
La capacità di BlackByte di combinare tecniche collaudate con nuove vulnerabilità rappresenta una sfida crescente per la sicurezza informatica. Per contrastare questa minaccia, le organizzazioni devono adottare un approccio proattivo alla sicurezza, che includa l’aggiornamento costante dei sistemi, la verifica delle configurazioni VPN, la formazione del personale e l’implementazione MFA per tutti gli accessi remoti e le connessioni cloud (“limitare o disabilitare l’uso di NTLM ove possibile e applicare metodi di autenticazione più sicuri come Kerberos”, raccomanda Cisco Talos). Solo attraverso una vigilanza continua e una collaborazione tra esperti di sicurezza sarà possibile mitigare l’impatto di attacchi ransomware sempre più sofisticati.
“La progressione di BlackByte nei linguaggi di programmazione da C# a Go e successivamente a C/C++ nell’ultima versione del suo crittografo, BlackByteNT, rappresenta uno sforzo deliberato per aumentare la resilienza del malware contro il rilevamento e l’analisi.“, concludono i ricercatori, “Linguaggi complessi come C/C++ consentono l’incorporazione di tecniche avanzate di anti-analisi e anti-debug, che sono state osservate negli strumenti BlackByte durante analisi dettagliate da parte di altri ricercatori di sicurezza.“