O grupo de ransomware BlackByte foi observado explorando uma vulnerabilidade de segurança recentemente corrigida que afeta servidores VMware ESXi. O grupo continua a utilizar táticas, técnicas e procedimentos (TTPs) que têm formado a base de sua estratégia desde o início, iterando continuamente o uso de drivers vulneráveis para contornar proteções de segurança e implementando um ransomware autorreplicante e capaz de se propagar como um worm.

A exploração da CVE-2024-37085, uma vulnerabilidade de bypass de autenticação no VMware ESXi, também utilizada por outros grupos de ransomware, indica que o BlackByte está mudando suas abordagens tradicionais. O grupo surgiu na segunda metade de 2021 e é considerado uma das variantes de ransomware que apareceram nos meses anteriores ao encerramento do infame grupo de ransomware Conti. O BlackByte, que opera no modelo de ransomware como serviço (RaaS), tem um histórico de exploração de vulnerabilidades ProxyShell no Microsoft Exchange Server para obter acesso inicial, enquanto evita sistemas que utilizam o idioma russo e outros idiomas de países do leste europeu.

Como outros grupos de RaaS, o BlackByte adota a tática de dupla extorsão, pressionando as vítimas ao vazar dados em um site na dark web para forçá-las a pagar o resgate. Diversas variantes do ransomware, escritas em C, .NET e Go, já foram detectadas em circulação. Um dos aspectos importantes de seus ataques é o uso de drivers vulneráveis para encerrar processos de segurança e contornar controles, uma técnica conhecida como “traga seu próprio driver vulnerável” (BYOVD).