Вышла интересная статья о том, что было замечено, что злоумышленники, стоящие за группой программ-вымогателей BlackByte, вероятно, используют недавно исправленную уязвимость в системе безопасности, влияющую на гипервизоры VMware ESXi, а также используют различные уязвимые драйверы для отключения средств защиты.
Краткие факты об этой новости:
Злоумышленники, стоящие за BlackByte, используют недавно исправленный недостаток безопасности в VMware ESXi и уязвимые драйверы для отключения защиты.
Использование CVE-2024-37085 является признаком отказа группы от устоявшихся подходов.
BlackByte дебютировал во второй половине 2021 года и является одним из вариантов программы-вымогателя, появившихся перед закрытием Conti.
Существует множество вариантов программы-вымогателя на C, .NET и Go.
Trustwave выпустила дешифратор для BlackByte в октябре 2021 года, но группа продолжает совершенствовать методы работы.
Cisco Talos заявила, что проникновение, вероятно, было облегчено использованием действительных учетных данных для доступа к VPN-сети организации-жертвы.