BlackByte 勒索病毒团伙的新攻击手段

重点总结

策略变更：BlackByte 采用新漏洞CVE202437085攻击 VMware ESXi，偏离了其以往的攻击模式。攻击方式：通常利用已知漏洞进行攻击，但此次利用认证绕过漏洞需要更高的持续性。影响力：此次攻击利用企业中重要的虚拟化平台，可能导致重大业务中断，增加受害者支付赎金的压力。

近期，BlackByte 勒索病毒团伙被发现利用 VMware ESXi 中的最新认证绕过漏洞，这一技术与该团伙以往的作战方式有所不同。Cisco Talos 事件响应团队的研究人员在 8 月 28 日的博客中指出，BlackByte 被认为是 Conti 勒索病毒团伙 的分支，通常会使用脆弱的驱动程序绕过安全控制，包括部署自我传播的勒索病毒和利用“已知良好”的系统二进制文件及其他合法商业工具。

Austin Berglas，BlueVoyant 的全球专业服务负责人，解释道，此次攻击不同之处在于被利用的漏洞CVE202437085是从攻击已知漏洞转变为针对一种新漏洞的攻击，该漏洞于 7 月 30 日被列入 CISA 的已知利用漏洞 (KEV) 目录。

旋风加速器安卓下载

Berglas 表示：“对 CVE202437085 的利用可能是对正常攻击策略的转变，包括网络钓鱼、恶意软件分发、暴力破解攻击和凭证填充。尽管利用已知漏洞一直是这些团伙的常用工具，但在 VMware 中利用认证绕过漏洞需要比以往更高的持续性。”

通常情况下，组织会获得“初始访问权限”，并将该访问权限出售给其合作伙伴进行进一步的利用。这次攻击更深入，旨在建立立足点、横向移动并提升权限，最终获得管理访问权限。

Berglas 说：“这更像是APT类型的攻击。通过从既定方法转向利用 VMware ESXi 中的新 CVE202437085 漏洞，电子犯罪团伙正在调整其战术，以利用新发现的弱点，可能使他们的攻击更有效、预测更困难或防御更具挑战性。”

Critical Start 的网络威胁研究高级经理 Callie Guenther 也补充道，BlackByte 和类似团伙常常依赖于利用广泛使用软件中的已知漏洞，或利用网络钓鱼和暴力破解攻击来获得访问权限。

Guenther 作为 SC 媒体的专栏作家，指出这些团伙之前使用 Web Shell、Cobalt Strike，以及像 Mimikatz 这样的凭证窃取工具，在网络中横向移动并提升在被攻破环境中的权限。

“这种转变表明，他们愿意采用尖端的方法来提升攻击的有效性，”Guenther 说。“VMware ESXi 虚拟机管理程序在许多企业环境中至关重要，通常托管多个运行重要业务应用程序的虚拟机。针对这样的基础设施，攻击者可以造成重大干扰，从而增加受害者支付赎金的压力。”