Търсене
Close this search box.

Засилват се атаките с BlackCat ransomware

Microsoft съобщи, че хакерите от  BlackCat ransomware атакуват сървъри на Microsoft Exchange, използвайки експлойти, насочени към непоправени уязвимости.

При поне един инцидент, наблюдаван от експертите по сигурността на Microsoft, нападателите бавно преминават през мрежата на жертвата, открадавайки идентификационни данни и извличайки информация, за да бъде използвана за двойно изнудване.

Две седмици след първоначалния пробив, използващ непачнат Exchange сървър като входен вектор, бандата разположи полезни товари на BlackCat ransomware в мрежата чрез PsExec.

„Докато общите вектори за навлизане на тези заплахи включват приложения за отдалечен работен плот и компрометирани идентификационни данни, сега станахме свидетели на използване на  уязвимостите на Exchange сървъра, за да се получи достъп до целевата мрежа“, съобщи екипът за разузнаване на заплахите на Microsoft 365 Defender.

Въпреки че не споменава уязвимостта на Exchange, използвана за първоначален достъп, Microsoft пусна линк със съвет за сигурност от март 2021г. с насоки за разследване и смекчаване на атаки на ProxyLogon.

BlackCat entry via vulnerable Exchange server

Кибер бандите все повече използват BlackCat ransomware

Една от тях, финансово мотивирана група за киберпрестъпления, проследявана като FIN12, е известна с това, че преди това е използвала продуктите  на Ryuk, Conti и Hive при атаки, насочени главно към здравни организации.

Въпреки това, както разкри Mandiant, операторите на FIN12 са много по-бързи, тъй като понякога пропускат стъпката за кражба на данни и им отнема по-малко от два дни, за да пуснат своите криптиращи файлове в мрежата на жертвата. „Забелязахме, че тази група добави BlackCat към своя списък с разпределени зловредни товари от март 2022г.“, добавят от Microsoft.

„Преминаването им към BlackCat от Hive се предполага, че се дължи на публичния дискурс около методологиите за декриптиране на последния.“

BlackCat ransomware също се внедрява и от група, проследявана като DEV-0504, която обикновено ексфилтрира откраднати данни с помощта на Stealbit, злонамерен инструмент, който бандата LockBit предоставя на своите филиали като част от своята програма RaaS.

DEV-0504 е използвала и други щамове на ransomware от декември 2021г., включително BlackMatter, Conti, LockBit 2.0, Revil и Ryuk.

За да се защитят срещу атаки с BlackCat ransomware, Microsoft съветва организациите да преразгледат своите методи  и приложения за защитата на идентификационните си  данни, да наблюдават външния достъп до своите мрежи и да актуализират всички уязвими сървъри на Exchange в тяхната мрежа възможно най-скоро.

Използван при стотици атаки с ransomware

През април ФБР предупреди със „светкавица“, че  BlackCat е бил използван за криптиране на мрежите на най-малко 60 организации по целия свят между ноември 2021г. и март 2022г.

„Много от разработчиците и перачите на пари за BlackCat/ALPHV са свързани с Darkside/Blackmatter, което показва, че имат обширни мрежи и опит с операции за рансъмуер“, казаха от ФБР.

Въпреки това, реалният брой на жертвите на BlackCat най-вероятно е много по-висок, като се има предвид, че повече от 480 проби са били изпратени на платформата ID-Ransomware между ноември 2021г. и юни 2022г.

BlackCat activity

В сигнала си от април ФБР също така помоли администраторите и екипите по сигурността, които откриват активността на BlackCat в техните мрежи, да споделят всяка свързана информация за инцидент с местния киберотряд на ФБР.

Полезна информация, която би помогнала за проследяването и идентифицирането на групите, използващи този рансъмуер в своите атаки, включва „IP журнали, показващи обратни извиквания от чужди IP адреси, биткойн или Monero адреси и идентификатори на транзакции, комуникации с бандите, файла за декриптиране и/или доброкачествена проба от криптиран файл.“

 

Източник: По материали от Интернет

Подобни публикации

18 май 2024

Бивш лидер на OpenAI: Безопасността е "на заден...

Ян Лейке, който ръководеше екипа на OpenAI „Super Alignment&#...
18 май 2024

Киберсигурността в надпревара за разобличаване ...

Кевин Мандия, главен изпълнителен директор на Mandiant в Google Clo...
17 май 2024

Измамите с фалшиви фактури все още са сериозна ...

Измамите с фалшиви фактури не са нова тенденция, показват проучвани...
17 май 2024

Петима обвинени за киберсхеми в полза на оръжей...

Днес Министерството на правосъдието на САЩ повдигна обвинения на пе...
17 май 2024

Шпионската група "Маската" се появява отново сл...

Група за съвременни постоянни заплахи (APT), която не е била в дейс...
16 май 2024

400 000 Linux сървъра са засегнати от ботнета E...

Разширяването на ботнета Ebury Linux продължава без прекъсване през...
16 май 2024

Intel публикува 41 препоръки за сигурност за на...

Гигантът в областта на чиповете е пуснал пачове за повечето от тези...
16 май 2024

Украински и латвийски телевизии бяха отвлечени

Само в Украйна бяха прекъснати поне 15 телевизионни канала, което, ...
16 май 2024

Ascension Healthcare претърпява сериозна кибера...

Атаката прекъсна достъпа до електронните здравни досиета (ЕЗД) и си...
Бъдете социални
Още по темата
16/05/2024

Ascension Healthcare претър...

Атаката прекъсна достъпа до електронните здравни...
15/05/2024

Microsoft отстранява грешки...

Днес Microsoft отстрани известен проблем, който...
15/05/2024

Singing River: Данните на 8...

Здравната система Singing River Health System...
Последно добавени
18/05/2024

Бивш лидер на OpenAI: Безоп...

Ян Лейке, който ръководеше екипа на...
18/05/2024

Киберсигурността в надпрева...

Кевин Мандия, главен изпълнителен директор на...
17/05/2024

Измамите с фалшиви фактури ...

Измамите с фалшиви фактури не са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!