- BlackByte memanfaatkan kelemahan keamanan di ESXi untuk menyerang jaringan perusahaan.
- Penyerang memanfaatkan hak akses AD untuk menguasai ESXi dan menyebarkan ransomware Akira dan Black Basta.
- Serangan terhadap ESXi mengingatkan kita bahwa para pembela harus selalu waspada untuk menghadapi ancaman baru.
pibitek.biz -BlackByte, geng penjahat siber terkenal dengan aksi ransomware-nya, ikut meramaikan tren baru: mengincar kelemahan keamanan di VMware ESXi untuk mengacaukan infrastruktur inti jaringan perusahaan. Mereka memanfaatkan celah keamanan ESXi yang dikenal sebagai CVE-2024-37085. Celah ini memuluskan jalan bagi penyerang yang punya akses cukup ke Active Directory (AD) untuk menguasai sepenuhnya ESXi host. Tapi ingat, ESXi host ini harus menggunakan AD untuk mengatur pengguna. Kabarnya, beberapa kelompok penjahat siber lain juga sudah memanfaatkan celah ini, seperti Black Basta (alias Storm-0506), Manatee Tempest, Scattered Spider (alias Octo Tempest), dan Storm-1175.
2 – Samsung: Pembaruan Galaxy S22 Oktober 2024, Perbaiki 42 Kerentanan 2 – Samsung: Pembaruan Galaxy S22 Oktober 2024, Perbaiki 42 Kerentanan
3 – Aplikasi ChatGPT untuk Windows: Kelebihan dan Kekurangan 3 – Aplikasi ChatGPT untuk Windows: Kelebihan dan Kekurangan
Mereka menggunakan celah ini untuk menyebarkan ransomware Akira dan Black Basta. Caranya, mereka memanfaatkan hak akses AD mereka untuk membuat atau mengganti nama grup yang disebut "ESX Admins", lalu menggunakan grup ini untuk mengakses ESXi hypervisor sebagai pengguna dengan hak akses penuh. Strategi ini menandakan perubahan besar bagi BlackByte. Sebelumnya, mereka biasanya berburu dan mengeksploitasi kelemahan umum yang terbuka ke publik, seperti celah ProxyShell di Microsoft Exchange. Tapi kini, mereka beralih ke cara yang lebih strategis untuk masuk ke jaringan perusahaan.
Para peneliti di Cisco Talos melihat langsung bagaimana BlackByte memanfaatkan CVE-2024-37085 dalam serangan terbaru mereka. Mereka mencatat beberapa perubahan taktik yang dilakukan BlackByte agar bisa terus mengelabui para pembela keamanan. BlackByte kini menggunakan BlackByteNT, software enkripsi baru yang ditulis dalam bahasa C/C++. Mereka juga mulai menyebarkan hingga empat driver rentan ke sistem yang berhasil mereka kompromi, padahal sebelumnya hanya tiga. Selain itu, mereka menggunakan kredensial AD korban untuk menyebarkan diri secara mandiri di jaringan.
Para peneliti Talos menemukan bahwa sektor jasa profesional, ilmiah, dan teknis paling rentan terhadap serangan yang melibatkan driver rentan tapi sah. Teknik ini dikenal sebagai Bring Your Own Vulnerable Driver (BYOVD). Para peneliti Talos menambahkan, "Perkembangan BlackByte dalam bahasa pemrograman dari C# ke Go dan kemudian ke C/C++ di versi enkripsi terbaru mereka, BlackByteNT, menunjukkan upaya mereka untuk meningkatkan ketahanan malware agar lebih sulit dideteksi dan dianalisis. Sifat BlackByte yang menyebarkan diri secara mandiri menciptakan tantangan tambahan bagi para pembela.
Penggunaan teknik BYOVD semakin memperumit tantangan ini karena dapat membatasi efektivitas kontrol keamanan selama upaya penanggulangan dan pembersihan". Perubahan BlackByte ini merupakan bukti bagaimana para penyerang terus-menerus mengasah taktik, teknik, dan prosedur mereka agar tetap unggul. Darren Guccione, CEO dan salah satu pendiri Keeper Security, mengatakan, "Eksploitasi kerentanan di ESXi oleh BlackByte dan kelompok penyerang lainnya menunjukkan upaya terfokus untuk mengacaukan infrastruktur inti jaringan perusahaan.
Mengingat ESXi server seringkali menampung banyak mesin virtual, satu serangan yang berhasil bisa menyebabkan gangguan yang luas. Hal ini menjadikan mereka sasaran utama bagi kelompok ransomware". Sygnia, perusahaan yang menyelidiki banyak serangan ransomware terhadap VMWare ESXi dan lingkungan virtual lainnya pada awal tahun ini, menggambarkan serangan tersebut biasanya terjadi dalam pola tertentu. Serangan biasanya dimulai dengan penyerang yang berhasil masuk ke lingkungan target melalui serangan phishing, eksploitasi kerentanan, atau unduhan file berbahaya.
Begitu mereka masuk ke jaringan, penyerang cenderung menggunakan taktik seperti mengubah keanggotaan grup domain untuk instance VMware yang terhubung ke domain, atau melalui pembajakan RDP, untuk mendapatkan kredensial ESXi host atau vCenter. Setelah itu, mereka memvalidasi kredensial mereka dan menggunakannya untuk menjalankan ransomware di ESXi host, mengkompromikan sistem cadangan, atau mengubah kata sandi sistem cadangan, lalu mencuri data. Serangan terhadap lingkungan ESXi meningkatkan tekanan pada organisasi dan tim keamanan mereka untuk menjaga program keamanan yang fleksibel.
Para peneliti Cisco Talos mengatakan, "Ini termasuk praktik seperti manajemen kerentanan yang kuat, berbagi informasi intelijen ancaman, dan kebijakan serta prosedur tanggapan insiden untuk mengimbangi TTP penyerang yang terus berkembang. Dalam kasus ini, manajemen kerentanan dan berbagi informasi intelijen ancaman akan membantu mengidentifikasi jalan yang tidak dikenal atau baru yang mungkin diambil penyerang selama serangan, seperti kerentanan ESXi". Heath Renfrow, salah satu pendiri perusahaan pemulihan bencana Fenix24, mengatakan bahwa CVE-2024-37085 menghadirkan tantangan tambahan bagi organisasi karena dianggap sulit untuk menerapkan mitigasi. "Mitigasi ini termasuk memisahkan ESXi dari AD, menghapus grup apa pun yang sebelumnya digunakan di AD untuk mengelola ESXi, dan menambal ESXi ke versi 8.0 U3, di mana kerentanan telah diperbaiki", kata Renfrow. "VMware adalah solusi virtual yang paling banyak digunakan di dunia, dan jejak serangannya luas dan mudah dieksploitasi. Hal ini menjadikan ESXi sebagai sasaran empuk bagi penyerang untuk mengakses aset penting dan menyebabkan kerusakan besar dengan cepat". Singkatnya, serangan ini sekali lagi mengingatkan kita bahwa dunia siber terus berubah dengan cepat, dan para pembela harus selalu waspada untuk menghadapi ancaman baru yang muncul setiap hari.
