Skip to content

PROSPERITA IT NEWS

Informasi seputar IT Security

  • Sektor Bisnis
  • Sektor Personal
  • Edukasi
  • Mobile Security
  • Teknologi
  • Ransomware
  • Tips & Tricks
  • Home
  • Ransomware
  • Ransomware BlackByte Susupi VMware ESXi
  • Ransomware

Ransomware BlackByte Susupi VMware ESXi

4 min read
Ransomware BlackByte Susupi VMware ESXi

image credit: Pixabay.com

Ada kabar kurang mengenakkan dari dunia virtual, diketahui bahwa ransomware BlackByte susupi VMware ESXI, berikut laporannya.

Pelaku yang menggunakan jenis ransomware BlackByte yang terkenal telah bergabung dengan sejumlah penjahat dunia maya yang berkembang pesat yang menargetkan kerentanan bypass autentikasi terkini di VMware ESXi untuk membahayakan infrastruktur inti jaringan perusahaan.

Bug tersebut, dilacak sebagai CVE-2024-37085, memungkinkan pelaku dengan akses yang cukup pada Active Directory (AD) untuk mendapatkan akses penuh ke host ESXi jika host tersebut menggunakan AD untuk manajemen pengguna.

Baca juga: Phising 101

Target Populer

Microsoft dan vendor keamanan lainnya sebelumnya mengidentifikasi kelompok ransomware seperti

  • Black Basta (alias Storm-0506).
  • Manatee Tempest.
  • Scattered Spider (alias Octo Tempest).
  • Storm-1175

Yang diketahui memanfaatkan CVE-2024-37085 untuk menyebarkan jenis ransomware seperti Akira dan Black Basta.

Dalam serangan ini, para pelaku menggunakan hak istimewa AD mereka untuk membuat atau mengganti nama grup yang disebut “ESX Admins”

Dan kemudian menggunakan grup tersebut untuk mengakses hypervisor ESXi sebagai pengguna yang memiliki hak istimewa penuh.

Penggunaan kerentanan oleh BlackByte merupakan perubahan dari praktik biasa kelompok ancaman untuk memindai dan mengeksploitasi kerentanan yang dihadapi publik, seperti kelemahan ProxyShell di Microsoft Exchange untuk mendapatkan pijakan awal.

Perubahan Taktik

Para peneliti yang mengamati, mengetahui adanya perubahan taktik dalam serangan BlackByte baru-baru ini, yakni sebagai berikut:

  • BlackByte menargetkan CVE-2024-37085, ini menggambarkan taktik tersebut sebagai salah satu dari beberapa perubahan yang mereka buat.
  • Perubahan lainnya termasuk penggunaan BlackByteNT, enkripsi BlackByte baru yang ditulis dalam C/C++.
  • Membuang sebanyak empat driver yang rentan, dibandingkan dengan tiga sebelumnya, pada sistem yang disusupi.
  • Dan menggunakan kredensial AD perusahaan korban untuk menyebarkan diri sendiri.

Investigasi menunjukkan bahwa perusahaan di sektor layanan profesional, ilmiah, dan teknis paling rentan terhadap serangan yang melibatkan penggunaan driver yang sah, tetapi rentan untuk melewati mekanisme keamanan, sebuah teknik yang oleh para peneliti disebut sebagai Bring Your Own Vulnerable Driver (BYOVD).

Perkembangan BlackByte dalam bahasa pemrograman dari C# ke Go dan selanjutnya ke C/C++ dalam versi terbaru enkripsinya BlackByteNT

Merupakan upaya yang dilakukan dengan terus menerus untuk meningkatkan ketahanan malware terhadap deteksi dan analisis.

Sifat enkripsi BlackByte yang menyebar sendiri menciptakan tantangan tambahan bagi para ahli keamanan siber. Penggunaan teknik BYOVD memperparah tantangan ini karena dapat membatasi efektivitas kontrol keamanan selama upaya penahanan dan pemberantasan.

Baca juga: Mitigasi Serangan Phising

Perubahan Konstan

Peralihan BackByte ke kerentanan seperti CVE-2024-37085 di ESXi merupakan manifestasi bagaimana pelaku terus mengembangkan taktik, teknik, dan prosedur mereka untuk tetap unggul dari para pembela.

Eksploitasi kerentanan di ESXi oleh BlackByte dan pelaku ancaman serupa menunjukkan upaya yang terfokus untuk membahayakan infrastruktur inti jaringan perusahaan.

Mengingat server ESXi sering kali menjadi host beberapa mesin virtual, satu serangan yang berhasil dapat menyebabkan gangguan yang meluas, sehingga menjadikannya target utama bagi kelompok ransomware.

Peneliti yang menyelidiki banyak serangan ransomware terhadap VMWare ESXi dan lingkungan virtual lainnya awal tahun ini, menggambarkan serangan tersebut berlangsung dalam pola tertentu dalam sebagian besar kasus.

Rantai serangan dimulai dengan pelaku yang memperoleh akses awal ke lingkungan target melalui serangan phishing, eksploitasi kerentanan, atau unduhan file berbahaya.

Setelah berada di jaringan, pelaku cenderung menggunakan taktik seperti:

  • Mengubah keanggotaan grup domain untuk instans VMware yang terhubung ke domain,
  • Atau melalui pembajakan RDP, untuk mendapatkan kredensial bagi host ESXi atau vCenter.

Mereka kemudian memvalidasi kredensial mereka dan menggunakannya untuk menjalankan ransomware mereka pada host ESXi, membahayakan sistem cadangan, atau mengubah kata sandi untuk mereka dan kemudian mencuri data.

Baca juga: Teknik Phising Paling Berbahaya

Meningkatnya Tekanan Perusahaan

Menurut para peneliti, serangan terhadap lingkungan ESXi meningkatkan tekanan pada perusahaan dan tim keamanan mereka untuk mempertahankan program keamanan yang serbaguna.

Ini mencakup praktik seperti manajemen kerentanan yang kuat, berbagi intelijen ancaman, dan kebijakan serta prosedur respons insiden untuk mengimbangi perkembangan TTP musuh.

Dalam kasus ini, manajemen kerentanan dan berbagi intelijen ancaman akan membantu mengidentifikasi cara-cara yang kurang dikenal atau baru yang mungkin diambil penyerang selama serangan seperti kerentanan ESXi.

Mitigasi ini meliputi pemutusan ESXi dari AD, penghapusan grup yang sebelumnya digunakan dalam AD yang mengelola ESXi, dan menambal ESXi ke 8.0 U3, tempat kerentanan diperbaiki.

VMware adalah solusi virtual yang paling banyak digunakan secara global, dan jejak serangannya luas dan mudah dieksploitasi. Hal ini memudahkan pelaku ancaman untuk mengakses sumber data dan menyebabkan kerusakan signifikan dengan cepat.

Demikian pembahasan mengenai ransomware BlackByte susupi VMware ESXI, semoga informasi tersebut dapat bermanfaat bagi pembaca.

 

 

 

Baca lainnya:

  • Berhenti Operasi, Grandcab Reinkarnasi dalam Wujud Lain
  • ESET Bongkar Operasi Aplikasi Adware yang Diinstal 8 Juta Kali
  • Penjahat Siber Gunakan Malware Murahan untuk Operasi Siber
  • Operasi ShaddowFall Runtuhkan Infrastruktur Eksploit Kit Rig
  • Social Engineering, Phising dan Psikologi
  • Layanan Pengarah Lalu Lintas ke Situs Phising
  • Klik Tautan Phising Ini yang Harus Dilakukan
  • Operasi Phising Penyelahgunaan Pencarian Windows
  • Serangan Phising Kredensial

 

 

Sumber berita:

 

WeLiveSecurity

 

Tags: antivirus Andal Antivirus Canggih Antivirus ESET antivirus hebat antivirus jempolan Antivirus Komprehensif antivirus nomor satu Antivirus Nomor Wahid Antivirus Papan Atas Antivirus Populer Antivirus Super Antivirus Super Ringan antivirus superb Antivirus Tangguh Antivirus Terbaik ransomware blackbyte ransomware susupi vmware serangan blackbyte vmware esxi

Continue Reading

Previous: Risiko Perangkat Usang
Next: Apa yang Menyebabkan Phising Sulit Diidentifikasi

Related Stories

Bahaya Ransomware Play 900 Organisasi Jadi Korban Bahaya Ransomware Play 900 Organisasi Jadi Korban
3 min read
  • Ransomware

Bahaya Ransomware Play 900 Organisasi Jadi Korban

June 10, 2025
Momok Ransomware Teratas DragonForce Momok Ransomware Teratas DragonForce
4 min read
  • Ransomware

Momok Ransomware Teratas DragonForce

May 6, 2025
Model Afiliasi Gaya Baru Ransomware MEMATIKAN!! Model Afiliasi Gaya Baru Ransomware MEMATIKAN!!
3 min read
  • Ransomware

Model Afiliasi Gaya Baru Ransomware MEMATIKAN!!

April 25, 2025

Recent Posts

  • Infostealer Dibongkar 20.000 Alamat Internet Berbahaya Dinonaktifkan
  • Phising Cerdik Google Apps Script
  • Keamanan sebagai Layanan dan Mengapa Penting untuk Bisnis
  • Terbongkar! Pelaku Malware Danabot Terungkap Akibat Kesalahan Fatal
  • Trik Phising Baru Blob URL
  • Lebih dari 84.000 Server Email Roundcube Berisiko Diserang
  • BladedFeline Mata-mata dalam Jaringan Kita
  • Ponsel Anda Dilacak Pahami Tandanya
  • ClickFix Memanfaatkan Perilaku Manusia
  • Ancaman Senyap yang Mengintai Kendali Sistem Anda (RAT)

Daftar Artikel

Categories

  • Edukasi
  • Mobile Security
  • Ransomware
  • Sektor Bisnis
  • Sektor Personal
  • Teknologi
  • Tips & Tricks

You may have missed

Infostealer Dibongkar 20.000 Alamat Internet Berbahaya Dinonaktifkan Infostealer Dibongkar 20.000 Alamat Internet Berbahaya Dinonaktifkan
3 min read
  • Teknologi

Infostealer Dibongkar 20.000 Alamat Internet Berbahaya Dinonaktifkan

June 13, 2025
Phising Cerdik Google Apps Script
3 min read
  • Teknologi

Phising Cerdik Google Apps Script

June 13, 2025
Keamanan sebagai Layanan dan Mengapa Penting untuk Bisnis Keamanan sebagai Layanan dan Mengapa Penting untuk Bisnis
3 min read
  • Teknologi

Keamanan sebagai Layanan dan Mengapa Penting untuk Bisnis

June 13, 2025
Terbongkar! Pelaku Malware Danabot Terungkap Akibat Kesalahan Fatal Memahami anatomi serangan siber metode para pelaku kejahatan
3 min read
  • Teknologi

Terbongkar! Pelaku Malware Danabot Terungkap Akibat Kesalahan Fatal

June 12, 2025

Copyright © All rights reserved. | DarkNews by AF themes.