BlackByte勒索软件组织正在利用新发现的VMware ESXi漏洞和VPN访问发起新一轮攻击。思科Talos揭露了该组织的策略，敦促各组织修补系统、实施MFA并加强安全措施以降低风险。

臭名昭著的BlackByte勒索软件组织再次出击，采用新策略攻击全球企业。思科Talos最近的调查显示，该组织目前正在积极利用VMware ESXi虚拟机管理程序中最近修补的漏洞，这表明他们能够快速适应新的漏洞利用和安全漏洞。

讨论中的漏洞被标识为CVE-2024-37085，它允许攻击者绕过身份验证并获得对易受攻击系统的控制。然而，除了利用此漏洞之外，BlackByte还被发现使用受害者授权的远程访问机制（例如VPN），而不是依赖商业远程管理工具。这种策略使他们能够以较低的可见性进行操作，并可能逃避安全监控系统。

另一个令人担忧的发展是该组织使用窃取的Active Directory凭据自我传播勒索软件。这意味着他们可以更快、更有效地在网络中传播感染，从而增加破坏潜力。

根据思科Talos在2024年8月28日发布分享的研究，研究人员认为BlackByte比其公开数据泄露网站显示的更加活跃。该网站仅显示了他们成功发起的攻击中的一小部分，可能掩盖了他们行动的真实范围。

以下是BlackByte勒索软件组织最常攻击的5大行业：
1. 制造业
2. 运输/仓储
3. 专业人员、科学和技术服务
4. 信息技术
5. 公共行政

尽管如此，研究人员还是敦促各组织优先修补系统，包括VMware ESXi虚拟机管理程序，对所有远程访问和云连接实施多因素身份验证(MFA)，审核VPN配置，并限制对关键网络段的访问。

通过选择更安全的身份验证方法来限制或禁用NTLM的使用也很重要。部署可靠的端点检测和响应(EDR)解决方案可以大大提高安全性。

此外，全面的安全策略应包括主动威胁情报和事件响应能力，以有效保护系统免受BlackByte等类似攻击的威胁。