Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Ransomware
  • Ransomware BlackByte Susupi VMware ESXi
  • Ransomware

Ransomware BlackByte Susupi VMware ESXi

4 min read
Ransomware BlackByte Susupi VMware ESXi

image credit: Pixabay.com

Ada kabar kurang mengenakkan dari dunia virtual, diketahui bahwa ransomware BlackByte susupi VMware ESXI, berikut laporannya.

Pelaku yang menggunakan jenis ransomware BlackByte yang terkenal telah bergabung dengan sejumlah penjahat dunia maya yang berkembang pesat yang menargetkan kerentanan bypass autentikasi terkini di VMware ESXi untuk membahayakan infrastruktur inti jaringan perusahaan.

Bug tersebut, dilacak sebagai CVE-2024-37085, memungkinkan pelaku dengan akses yang cukup pada Active Directory (AD) untuk mendapatkan akses penuh ke host ESXi jika host tersebut menggunakan AD untuk manajemen pengguna.

Baca juga: Phising 101

Target Populer

Microsoft dan vendor keamanan lainnya sebelumnya mengidentifikasi kelompok ransomware seperti

  • Black Basta (alias Storm-0506).
  • Manatee Tempest.
  • Scattered Spider (alias Octo Tempest).
  • Storm-1175

Yang diketahui memanfaatkan CVE-2024-37085 untuk menyebarkan jenis ransomware seperti Akira dan Black Basta.

Dalam serangan ini, para pelaku menggunakan hak istimewa AD mereka untuk membuat atau mengganti nama grup yang disebut “ESX Admins”

Dan kemudian menggunakan grup tersebut untuk mengakses hypervisor ESXi sebagai pengguna yang memiliki hak istimewa penuh.

Penggunaan kerentanan oleh BlackByte merupakan perubahan dari praktik biasa kelompok ancaman untuk memindai dan mengeksploitasi kerentanan yang dihadapi publik, seperti kelemahan ProxyShell di Microsoft Exchange untuk mendapatkan pijakan awal.

Perubahan Taktik

Para peneliti yang mengamati, mengetahui adanya perubahan taktik dalam serangan BlackByte baru-baru ini, yakni sebagai berikut:

  • BlackByte menargetkan CVE-2024-37085, ini menggambarkan taktik tersebut sebagai salah satu dari beberapa perubahan yang mereka buat.
  • Perubahan lainnya termasuk penggunaan BlackByteNT, enkripsi BlackByte baru yang ditulis dalam C/C++.
  • Membuang sebanyak empat driver yang rentan, dibandingkan dengan tiga sebelumnya, pada sistem yang disusupi.
  • Dan menggunakan kredensial AD perusahaan korban untuk menyebarkan diri sendiri.

Investigasi menunjukkan bahwa perusahaan di sektor layanan profesional, ilmiah, dan teknis paling rentan terhadap serangan yang melibatkan penggunaan driver yang sah, tetapi rentan untuk melewati mekanisme keamanan, sebuah teknik yang oleh para peneliti disebut sebagai Bring Your Own Vulnerable Driver (BYOVD).

Perkembangan BlackByte dalam bahasa pemrograman dari C# ke Go dan selanjutnya ke C/C++ dalam versi terbaru enkripsinya BlackByteNT

Merupakan upaya yang dilakukan dengan terus menerus untuk meningkatkan ketahanan malware terhadap deteksi dan analisis.

Sifat enkripsi BlackByte yang menyebar sendiri menciptakan tantangan tambahan bagi para ahli keamanan siber. Penggunaan teknik BYOVD memperparah tantangan ini karena dapat membatasi efektivitas kontrol keamanan selama upaya penahanan dan pemberantasan.

Baca juga: Mitigasi Serangan Phising

Perubahan Konstan

Peralihan BackByte ke kerentanan seperti CVE-2024-37085 di ESXi merupakan manifestasi bagaimana pelaku terus mengembangkan taktik, teknik, dan prosedur mereka untuk tetap unggul dari para pembela.

Eksploitasi kerentanan di ESXi oleh BlackByte dan pelaku ancaman serupa menunjukkan upaya yang terfokus untuk membahayakan infrastruktur inti jaringan perusahaan.

Mengingat server ESXi sering kali menjadi host beberapa mesin virtual, satu serangan yang berhasil dapat menyebabkan gangguan yang meluas, sehingga menjadikannya target utama bagi kelompok ransomware.

Peneliti yang menyelidiki banyak serangan ransomware terhadap VMWare ESXi dan lingkungan virtual lainnya awal tahun ini, menggambarkan serangan tersebut berlangsung dalam pola tertentu dalam sebagian besar kasus.

Rantai serangan dimulai dengan pelaku yang memperoleh akses awal ke lingkungan target melalui serangan phishing, eksploitasi kerentanan, atau unduhan file berbahaya.

Setelah berada di jaringan, pelaku cenderung menggunakan taktik seperti:

  • Mengubah keanggotaan grup domain untuk instans VMware yang terhubung ke domain,
  • Atau melalui pembajakan RDP, untuk mendapatkan kredensial bagi host ESXi atau vCenter.

Mereka kemudian memvalidasi kredensial mereka dan menggunakannya untuk menjalankan ransomware mereka pada host ESXi, membahayakan sistem cadangan, atau mengubah kata sandi untuk mereka dan kemudian mencuri data.

Baca juga: Teknik Phising Paling Berbahaya

Meningkatnya Tekanan Perusahaan

Menurut para peneliti, serangan terhadap lingkungan ESXi meningkatkan tekanan pada perusahaan dan tim keamanan mereka untuk mempertahankan program keamanan yang serbaguna.

Ini mencakup praktik seperti manajemen kerentanan yang kuat, berbagi intelijen ancaman, dan kebijakan serta prosedur respons insiden untuk mengimbangi perkembangan TTP musuh.

Dalam kasus ini, manajemen kerentanan dan berbagi intelijen ancaman akan membantu mengidentifikasi cara-cara yang kurang dikenal atau baru yang mungkin diambil penyerang selama serangan seperti kerentanan ESXi.

Mitigasi ini meliputi pemutusan ESXi dari AD, penghapusan grup yang sebelumnya digunakan dalam AD yang mengelola ESXi, dan menambal ESXi ke 8.0 U3, tempat kerentanan diperbaiki.

VMware adalah solusi virtual yang paling banyak digunakan secara global, dan jejak serangannya luas dan mudah dieksploitasi. Hal ini memudahkan pelaku ancaman untuk mengakses sumber data dan menyebabkan kerusakan signifikan dengan cepat.

Demikian pembahasan mengenai ransomware BlackByte susupi VMware ESXI, semoga informasi tersebut dapat bermanfaat bagi pembaca.

 

 

 

Baca lainnya:

  • Berhenti Operasi, Grandcab Reinkarnasi dalam Wujud Lain
  • ESET Bongkar Operasi Aplikasi Adware yang Diinstal 8 Juta Kali
  • Penjahat Siber Gunakan Malware Murahan untuk Operasi Siber
  • Operasi ShaddowFall Runtuhkan Infrastruktur Eksploit Kit Rig
  • Social Engineering, Phising dan Psikologi
  • Layanan Pengarah Lalu Lintas ke Situs Phising
  • Klik Tautan Phising Ini yang Harus Dilakukan
  • Operasi Phising Penyelahgunaan Pencarian Windows
  • Serangan Phising Kredensial

 

 

Sumber berita:

 

WeLiveSecurity

 

Tags: antivirus Andal Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik ransomware blackbyte ransomware susupi vmware serangan blackbyte vmware esxi

Continue Reading

Previous: Risiko Perangkat Usang
Next: Apa yang Menyebabkan Phising Sulit Diidentifikasi

Related Stories

Momok Ransomware Teratas DragonForce Momok Ransomware Teratas DragonForce
4 min read
  • Ransomware

Momok Ransomware Teratas DragonForce

May 6, 2025
Model Afiliasi Gaya Baru Ransomware MEMATIKAN!! Model Afiliasi Gaya Baru Ransomware MEMATIKAN!!
3 min read
  • Ransomware

Model Afiliasi Gaya Baru Ransomware MEMATIKAN!!

April 25, 2025
Dari Ransomware Sampai ClickFix Dari ClickFick Sampai Ransomware
3 min read
  • Ransomware

Dari Ransomware Sampai ClickFix

April 22, 2025

Recent Posts

  • Mengelola dan Melindungi Jejak Digital
  • Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
  • Mencegah Bisnis menjadi Korban Serangan Phising
  • Dari ClickFix ke Video TikTok Palsu
  • Riset ESET: Asia Dominasi Serangan Siber
  • Waspada Aplikasi Ledger Palsu Mengincar Pengguna macOS
  • ESET Gabung Operasi Endgame Lumpuhkan Danabot
  • Panggilan Palsu Senjata Baru Pencurian Data
  • Serangan Phising yang Jarang Diketahui
  • ESET Gabung Operasi Global Lumpuhkan Lumma Stealer

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Mengelola dan Melindungi Jejak Digital Mengelola dan Melindungi Jejak Digital
3 min read
  • Teknologi

Mengelola dan Melindungi Jejak Digital

May 28, 2025
Lindungi Data dengan Enkripsi Seperti Perusahaan Besar Lindungi Data dengan Enkripsi Seperti Perusahaan Besar
4 min read
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi

Lindungi Data dengan Enkripsi Seperti Perusahaan Besar

May 28, 2025
Mencegah Bisnis menjadi Korban Serangan Phising Mencegah Bisnis menjadi Korban Serangan Phising
3 min read
  • Teknologi

Mencegah Bisnis menjadi Korban Serangan Phising

May 28, 2025
Dari ClickFix ke Video TikTok Palsu Dari ClickFix ke Video TikTok Palsu
3 min read
  • Teknologi

Dari ClickFix ke Video TikTok Palsu

May 27, 2025

Copyright © All rights reserved. | DarkNews by AF themes.