Microsoft съобщи, че хакерите от  BlackCat ransomware атакуват сървъри на Microsoft Exchange, използвайки експлойти, насочени към непоправени уязвимости.

При поне един инцидент, наблюдаван от експертите по сигурността на Microsoft, нападателите бавно преминават през мрежата на жертвата, открадавайки идентификационни данни и извличайки информация, за да бъде използвана за двойно изнудване.

Две седмици след първоначалния пробив, използващ непачнат Exchange сървър като входен вектор, бандата разположи полезни товари на BlackCat ransomware в мрежата чрез PsExec.

„Докато общите вектори за навлизане на тези заплахи включват приложения за отдалечен работен плот и компрометирани идентификационни данни, сега станахме свидетели на използване на  уязвимостите на Exchange сървъра, за да се получи достъп до целевата мрежа“, съобщи екипът за разузнаване на заплахите на Microsoft 365 Defender.

Въпреки че не споменава уязвимостта на Exchange, използвана за първоначален достъп, Microsoft пусна линк със съвет за сигурност от март 2021г. с насоки за разследване и смекчаване на атаки на ProxyLogon.

Кибер бандите все повече използват BlackCat ransomware

Една от тях, финансово мотивирана група за киберпрестъпления, проследявана като FIN12, е известна с това, че преди това е използвала продуктите  на Ryuk, Conti и Hive при атаки, насочени главно към здравни организации.

Въпреки това, както разкри Mandiant, операторите на FIN12 са много по-бързи, тъй като понякога пропускат стъпката за кражба на данни и им отнема по-малко от два дни, за да пуснат своите криптиращи файлове в мрежата на жертвата. „Забелязахме, че тази група добави BlackCat към своя списък с разпределени зловредни товари от март 2022г.“, добавят от Microsoft.

„Преминаването им към BlackCat от Hive се предполага, че се дължи на публичния дискурс около методологиите за декриптиране на последния.“

BlackCat ransomware също се внедрява и от група, проследявана като DEV-0504, която обикновено ексфилтрира откраднати данни с помощта на Stealbit, злонамерен инструмент, който бандата LockBit предоставя на своите филиали като част от своята програма RaaS.

DEV-0504 е използвала и други щамове на ransomware от декември 2021г., включително BlackMatter, Conti, LockBit 2.0, Revil и Ryuk.

За да се защитят срещу атаки с BlackCat ransomware, Microsoft съветва организациите да преразгледат своите методи  и приложения за защитата на идентификационните си  данни, да наблюдават външния достъп до своите мрежи и да актуализират всички уязвими сървъри на Exchange в тяхната мрежа възможно най-скоро.

Използван при стотици атаки с ransomware

През април ФБР предупреди със „светкавица“, че  BlackCat е бил използван за криптиране на мрежите на най-малко 60 организации по целия свят между ноември 2021г. и март 2022г.

„Много от разработчиците и перачите на пари за BlackCat/ALPHV са свързани с Darkside/Blackmatter, което показва, че имат обширни мрежи и опит с операции за рансъмуер“, казаха от ФБР.

Въпреки това, реалният брой на жертвите на BlackCat най-вероятно е много по-висок, като се има предвид, че повече от 480 проби са били изпратени на платформата ID-Ransomware между ноември 2021г. и юни 2022г.

В сигнала си от април ФБР също така помоли администраторите и екипите по сигурността, които откриват активността на BlackCat в техните мрежи, да споделят всяка свързана информация за инцидент с местния киберотряд на ФБР.

Полезна информация, която би помогнала за проследяването и идентифицирането на групите, използващи този рансъмуер в своите атаки, включва „IP журнали, показващи обратни извиквания от чужди IP адреси, биткойн или Monero адреси и идентификатори на транзакции, комуникации с бандите, файла за декриптиране и/или доброкачествена проба от криптиран файл.“