Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Ransomware
  • Ransomware BlackByte Susupi VMware ESXi
  • Ransomware

Ransomware BlackByte Susupi VMware ESXi

4 min read
Ransomware BlackByte Susupi VMware ESXi

image credit: Pixabay.com

Ada kabar kurang mengenakkan dari dunia virtual, diketahui bahwa ransomware BlackByte susupi VMware ESXI, berikut laporannya.

Pelaku yang menggunakan jenis ransomware BlackByte yang terkenal telah bergabung dengan sejumlah penjahat dunia maya yang berkembang pesat yang menargetkan kerentanan bypass autentikasi terkini di VMware ESXi untuk membahayakan infrastruktur inti jaringan perusahaan.

Bug tersebut, dilacak sebagai CVE-2024-37085, memungkinkan pelaku dengan akses yang cukup pada Active Directory (AD) untuk mendapatkan akses penuh ke host ESXi jika host tersebut menggunakan AD untuk manajemen pengguna.

Baca juga: Phising 101

Target Populer

Microsoft dan vendor keamanan lainnya sebelumnya mengidentifikasi kelompok ransomware seperti

  • Black Basta (alias Storm-0506).
  • Manatee Tempest.
  • Scattered Spider (alias Octo Tempest).
  • Storm-1175

Yang diketahui memanfaatkan CVE-2024-37085 untuk menyebarkan jenis ransomware seperti Akira dan Black Basta.

Dalam serangan ini, para pelaku menggunakan hak istimewa AD mereka untuk membuat atau mengganti nama grup yang disebut “ESX Admins”

Dan kemudian menggunakan grup tersebut untuk mengakses hypervisor ESXi sebagai pengguna yang memiliki hak istimewa penuh.

Penggunaan kerentanan oleh BlackByte merupakan perubahan dari praktik biasa kelompok ancaman untuk memindai dan mengeksploitasi kerentanan yang dihadapi publik, seperti kelemahan ProxyShell di Microsoft Exchange untuk mendapatkan pijakan awal.

Perubahan Taktik

Para peneliti yang mengamati, mengetahui adanya perubahan taktik dalam serangan BlackByte baru-baru ini, yakni sebagai berikut:

  • BlackByte menargetkan CVE-2024-37085, ini menggambarkan taktik tersebut sebagai salah satu dari beberapa perubahan yang mereka buat.
  • Perubahan lainnya termasuk penggunaan BlackByteNT, enkripsi BlackByte baru yang ditulis dalam C/C++.
  • Membuang sebanyak empat driver yang rentan, dibandingkan dengan tiga sebelumnya, pada sistem yang disusupi.
  • Dan menggunakan kredensial AD perusahaan korban untuk menyebarkan diri sendiri.

Investigasi menunjukkan bahwa perusahaan di sektor layanan profesional, ilmiah, dan teknis paling rentan terhadap serangan yang melibatkan penggunaan driver yang sah, tetapi rentan untuk melewati mekanisme keamanan, sebuah teknik yang oleh para peneliti disebut sebagai Bring Your Own Vulnerable Driver (BYOVD).

Perkembangan BlackByte dalam bahasa pemrograman dari C# ke Go dan selanjutnya ke C/C++ dalam versi terbaru enkripsinya BlackByteNT

Merupakan upaya yang dilakukan dengan terus menerus untuk meningkatkan ketahanan malware terhadap deteksi dan analisis.

Sifat enkripsi BlackByte yang menyebar sendiri menciptakan tantangan tambahan bagi para ahli keamanan siber. Penggunaan teknik BYOVD memperparah tantangan ini karena dapat membatasi efektivitas kontrol keamanan selama upaya penahanan dan pemberantasan.

Baca juga: Mitigasi Serangan Phising

Perubahan Konstan

Peralihan BackByte ke kerentanan seperti CVE-2024-37085 di ESXi merupakan manifestasi bagaimana pelaku terus mengembangkan taktik, teknik, dan prosedur mereka untuk tetap unggul dari para pembela.

Eksploitasi kerentanan di ESXi oleh BlackByte dan pelaku ancaman serupa menunjukkan upaya yang terfokus untuk membahayakan infrastruktur inti jaringan perusahaan.

Mengingat server ESXi sering kali menjadi host beberapa mesin virtual, satu serangan yang berhasil dapat menyebabkan gangguan yang meluas, sehingga menjadikannya target utama bagi kelompok ransomware.

Peneliti yang menyelidiki banyak serangan ransomware terhadap VMWare ESXi dan lingkungan virtual lainnya awal tahun ini, menggambarkan serangan tersebut berlangsung dalam pola tertentu dalam sebagian besar kasus.

Rantai serangan dimulai dengan pelaku yang memperoleh akses awal ke lingkungan target melalui serangan phishing, eksploitasi kerentanan, atau unduhan file berbahaya.

Setelah berada di jaringan, pelaku cenderung menggunakan taktik seperti:

  • Mengubah keanggotaan grup domain untuk instans VMware yang terhubung ke domain,
  • Atau melalui pembajakan RDP, untuk mendapatkan kredensial bagi host ESXi atau vCenter.

Mereka kemudian memvalidasi kredensial mereka dan menggunakannya untuk menjalankan ransomware mereka pada host ESXi, membahayakan sistem cadangan, atau mengubah kata sandi untuk mereka dan kemudian mencuri data.

Baca juga: Teknik Phising Paling Berbahaya

Meningkatnya Tekanan Perusahaan

Menurut para peneliti, serangan terhadap lingkungan ESXi meningkatkan tekanan pada perusahaan dan tim keamanan mereka untuk mempertahankan program keamanan yang serbaguna.

Ini mencakup praktik seperti manajemen kerentanan yang kuat, berbagi intelijen ancaman, dan kebijakan serta prosedur respons insiden untuk mengimbangi perkembangan TTP musuh.

Dalam kasus ini, manajemen kerentanan dan berbagi intelijen ancaman akan membantu mengidentifikasi cara-cara yang kurang dikenal atau baru yang mungkin diambil penyerang selama serangan seperti kerentanan ESXi.

Mitigasi ini meliputi pemutusan ESXi dari AD, penghapusan grup yang sebelumnya digunakan dalam AD yang mengelola ESXi, dan menambal ESXi ke 8.0 U3, tempat kerentanan diperbaiki.

VMware adalah solusi virtual yang paling banyak digunakan secara global, dan jejak serangannya luas dan mudah dieksploitasi. Hal ini memudahkan pelaku ancaman untuk mengakses sumber data dan menyebabkan kerusakan signifikan dengan cepat.

Demikian pembahasan mengenai ransomware BlackByte susupi VMware ESXI, semoga informasi tersebut dapat bermanfaat bagi pembaca.

 

 

 

Baca lainnya:

  • Berhenti Operasi, Grandcab Reinkarnasi dalam Wujud Lain
  • ESET Bongkar Operasi Aplikasi Adware yang Diinstal 8 Juta Kali
  • Penjahat Siber Gunakan Malware Murahan untuk Operasi Siber
  • Operasi ShaddowFall Runtuhkan Infrastruktur Eksploit Kit Rig
  • Social Engineering, Phising dan Psikologi
  • Layanan Pengarah Lalu Lintas ke Situs Phising
  • Klik Tautan Phising Ini yang Harus Dilakukan
  • Operasi Phising Penyelahgunaan Pencarian Windows
  • Serangan Phising Kredensial

 

 

Sumber berita:

 

WeLiveSecurity

 

Tags: antivirus Andal Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik ransomware blackbyte ransomware susupi vmware serangan blackbyte vmware esxi

Continue Reading

Previous: Risiko Perangkat Usang
Next: Apa yang Menyebabkan Phising Sulit Diidentifikasi

Related Stories

Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam
3 min read
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal

Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam

June 19, 2025
Bahaya Ransomware Play 900 Organisasi Jadi Korban Bahaya Ransomware Play 900 Organisasi Jadi Korban
3 min read
  • Ransomware

Bahaya Ransomware Play 900 Organisasi Jadi Korban

June 10, 2025
Momok Ransomware Teratas DragonForce Momok Ransomware Teratas DragonForce
4 min read
  • Ransomware

Momok Ransomware Teratas DragonForce

May 6, 2025

Recent Posts

  • Ancaman Masif ChainLink
  • Stargazer Curi Password Gamer dengan Mod Minecraft Palsu
  • Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam
  • Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri
  • Cara Melindungi Backup Anda dari Serangan
  • Pembayaran Seluler dan Tantangan Keamanan
  • Panduan Menghapus dan Mencegah Malware pada iPhone
  • Vektor Serangan Phising Terbaru
  • Strategi Melawan Invasi Malware Android
  • Melawan Pembunuh EDR

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Ancaman Masif ChainLink
2 min read
  • Sektor Bisnis
  • Sektor Personal

Ancaman Masif ChainLink

June 20, 2025
Stargazer Curi Password Gamer dengan Mod Minecraft Palsu Stargazer Curi Password Gamer dengan Mod Minecraft Palsu
3 min read
  • Sektor Personal

Stargazer Curi Password Gamer dengan Mod Minecraft Palsu

June 20, 2025
Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam
3 min read
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal

Tambahkan Fitur Mematikan Ransomware Anubis Kini Lebih Kejam

June 19, 2025
Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri
4 min read
  • Teknologi

Membatasi Kerugian Ketika Perangkat Hilang atau Dicuri

June 19, 2025

Copyright © All rights reserved. | DarkNews by AF themes.