Ransomware BlackByte Susupi VMware ESXi

Ada kabar kurang mengenakkan dari dunia virtual, diketahui bahwa ransomware BlackByte susupi VMware ESXI, berikut laporannya.

Pelaku yang menggunakan jenis ransomware BlackByte yang terkenal telah bergabung dengan sejumlah penjahat dunia maya yang berkembang pesat yang menargetkan kerentanan bypass autentikasi terkini di VMware ESXi untuk membahayakan infrastruktur inti jaringan perusahaan.

Bug tersebut, dilacak sebagai CVE-2024-37085, memungkinkan pelaku dengan akses yang cukup pada Active Directory (AD) untuk mendapatkan akses penuh ke host ESXi jika host tersebut menggunakan AD untuk manajemen pengguna.

Baca juga: Phising 101

Target Populer

Microsoft dan vendor keamanan lainnya sebelumnya mengidentifikasi kelompok ransomware seperti

Black Basta (alias Storm-0506).
Manatee Tempest.
Scattered Spider (alias Octo Tempest).
Storm-1175

Yang diketahui memanfaatkan CVE-2024-37085 untuk menyebarkan jenis ransomware seperti Akira dan Black Basta.

Dalam serangan ini, para pelaku menggunakan hak istimewa AD mereka untuk membuat atau mengganti nama grup yang disebut “ESX Admins”

Dan kemudian menggunakan grup tersebut untuk mengakses hypervisor ESXi sebagai pengguna yang memiliki hak istimewa penuh.

Penggunaan kerentanan oleh BlackByte merupakan perubahan dari praktik biasa kelompok ancaman untuk memindai dan mengeksploitasi kerentanan yang dihadapi publik, seperti kelemahan ProxyShell di Microsoft Exchange untuk mendapatkan pijakan awal.

Perubahan Taktik

Para peneliti yang mengamati, mengetahui adanya perubahan taktik dalam serangan BlackByte baru-baru ini, yakni sebagai berikut:

BlackByte menargetkan CVE-2024-37085, ini menggambarkan taktik tersebut sebagai salah satu dari beberapa perubahan yang mereka buat.
Perubahan lainnya termasuk penggunaan BlackByteNT, enkripsi BlackByte baru yang ditulis dalam C/C++.
Membuang sebanyak empat driver yang rentan, dibandingkan dengan tiga sebelumnya, pada sistem yang disusupi.
Dan menggunakan kredensial AD perusahaan korban untuk menyebarkan diri sendiri.

Investigasi menunjukkan bahwa perusahaan di sektor layanan profesional, ilmiah, dan teknis paling rentan terhadap serangan yang melibatkan penggunaan driver yang sah, tetapi rentan untuk melewati mekanisme keamanan, sebuah teknik yang oleh para peneliti disebut sebagai Bring Your Own Vulnerable Driver (BYOVD).

Perkembangan BlackByte dalam bahasa pemrograman dari C# ke Go dan selanjutnya ke C/C++ dalam versi terbaru enkripsinya BlackByteNT

Merupakan upaya yang dilakukan dengan terus menerus untuk meningkatkan ketahanan malware terhadap deteksi dan analisis.

Sifat enkripsi BlackByte yang menyebar sendiri menciptakan tantangan tambahan bagi para ahli keamanan siber. Penggunaan teknik BYOVD memperparah tantangan ini karena dapat membatasi efektivitas kontrol keamanan selama upaya penahanan dan pemberantasan.

Baca juga: Mitigasi Serangan Phising

Perubahan Konstan

Peralihan BackByte ke kerentanan seperti CVE-2024-37085 di ESXi merupakan manifestasi bagaimana pelaku terus mengembangkan taktik, teknik, dan prosedur mereka untuk tetap unggul dari para pembela.

Eksploitasi kerentanan di ESXi oleh BlackByte dan pelaku ancaman serupa menunjukkan upaya yang terfokus untuk membahayakan infrastruktur inti jaringan perusahaan.

Mengingat server ESXi sering kali menjadi host beberapa mesin virtual, satu serangan yang berhasil dapat menyebabkan gangguan yang meluas, sehingga menjadikannya target utama bagi kelompok ransomware.

Peneliti yang menyelidiki banyak serangan ransomware terhadap VMWare ESXi dan lingkungan virtual lainnya awal tahun ini, menggambarkan serangan tersebut berlangsung dalam pola tertentu dalam sebagian besar kasus.

Rantai serangan dimulai dengan pelaku yang memperoleh akses awal ke lingkungan target melalui serangan phishing, eksploitasi kerentanan, atau unduhan file berbahaya.

Setelah berada di jaringan, pelaku cenderung menggunakan taktik seperti:

Mengubah keanggotaan grup domain untuk instans VMware yang terhubung ke domain,
Atau melalui pembajakan RDP, untuk mendapatkan kredensial bagi host ESXi atau vCenter.

Mereka kemudian memvalidasi kredensial mereka dan menggunakannya untuk menjalankan ransomware mereka pada host ESXi, membahayakan sistem cadangan, atau mengubah kata sandi untuk mereka dan kemudian mencuri data.

Baca juga: Teknik Phising Paling Berbahaya

Meningkatnya Tekanan Perusahaan

Menurut para peneliti, serangan terhadap lingkungan ESXi meningkatkan tekanan pada perusahaan dan tim keamanan mereka untuk mempertahankan program keamanan yang serbaguna.

Ini mencakup praktik seperti manajemen kerentanan yang kuat, berbagi intelijen ancaman, dan kebijakan serta prosedur respons insiden untuk mengimbangi perkembangan TTP musuh.

Dalam kasus ini, manajemen kerentanan dan berbagi intelijen ancaman akan membantu mengidentifikasi cara-cara yang kurang dikenal atau baru yang mungkin diambil penyerang selama serangan seperti kerentanan ESXi.

Mitigasi ini meliputi pemutusan ESXi dari AD, penghapusan grup yang sebelumnya digunakan dalam AD yang mengelola ESXi, dan menambal ESXi ke 8.0 U3, tempat kerentanan diperbaiki.

VMware adalah solusi virtual yang paling banyak digunakan secara global, dan jejak serangannya luas dan mudah dieksploitasi. Hal ini memudahkan pelaku ancaman untuk mengakses sumber data dan menyebabkan kerusakan signifikan dengan cepat.

Demikian pembahasan mengenai ransomware BlackByte susupi VMware ESXI, semoga informasi tersebut dapat bermanfaat bagi pembaca.

Baca lainnya: