近日，据香港IDC新天域互联了解，知名的黑客组织BlackByte再次成为网络安全领域的焦点。该组织被发现利用VMware ESXi的最新认证绕过漏洞（CVE-2024-37085）进行攻击，这一漏洞在7月底被公开修复。根据Cisco Talos的研究，BlackByte展现出了其适应新环境的能力，通过该漏洞获取虚拟机的管理权限，给企业系统带来了极大的安全隐患。

　　CVE-2024-37085被评为6.8的CVSS评分，虽然不算最高，但足以引起广泛关注。与以往的攻击方法不同，BlackByte此次攻击不仅依赖于已知漏洞，还通过受害者的有效远程访问权限（如VPN）来进行渗透。这一策略使得攻击者在网络中更加隐蔽，增加了防御者的检测难度。

　　Cisco Talos的专家表示，BlackByte通常会利用受害者的Active Directory凭证进行自我传播，迅速在整个网络中扩散其勒索软件。随着攻击的深入，攻击者会通过获取管理权限，进一步控制虚拟机，甚至篡改安全工具和卸载监测系统。

　　BlackByte的攻击手法正逐渐向APT（高级持续性威胁）类型转变。研究人员指出，过去该组织主要通过网络钓鱼和暴力破解等方式获取初始访问权限，而这次则是通过更复杂的手段，如利用VPN和合法的网络凭证进行攻击。这种转变不仅提升了攻击的有效性，还使得防御变得更加困难。

　　在最近的攻击中，BlackByte使用了其最新的加密工具，该工具将加密文件重命名为“blackbytent_h”后缀，并投放了多个易被利用的驱动程序。这种“自带漏洞驱动”（BYOVD）技术的升级，使得其攻击能力大幅增强，给企业带来了更大的安全风险。

　　根据Talos的调查结果，BlackByte的受害者中，超过32%的企业来自制造业。这一现象表明，制造业的网络安全防御能力仍显不足，成为网络攻击的高危目标。

　　面对日益猖獗的勒索病毒攻击怎么连接电脑VPN，网络安全专家呼吁企业必须重视系统的安全性。首先，及时修补VMware ESXi等关键系统的安全漏洞，确保所有远程访问连接都启用多因素认证（MFA）。此外，企业还应审查VPN的配置，限制对关键网络区域的访问。

　　专家建议，企业应考虑采用更安全的身份验证方法，限制或禁用NTLM的使用。同时，部署可靠的终端检测与响应（EDR）解决方案，可以有效提升系统的安全性。此外，建立全面的安全策略，包括主动的威胁情报和事件响应能力，将极大增强对抗BlackByte及类似攻击的能力。

　　随着网络攻击手段的不断演变，企业在保护自身信息安全的同时，必须保持警惕，及时更新安全防护措施。BlackByte的最新攻击提醒我们，网络安全不是一蹴而就的，而是需要持续关注和不断优化的长期任务。返回搜狐，查看更多