Засилват се атаките с BlackCat ransomware

Microsoft съобщи, че хакерите от  BlackCat ransomware атакуват сървъри на Microsoft Exchange, използвайки експлойти, насочени към непоправени уязвимости.

При поне един инцидент, наблюдаван от експертите по сигурността на Microsoft, нападателите бавно преминават през мрежата на жертвата, открадавайки идентификационни данни и извличайки информация, за да бъде използвана за двойно изнудване.

Две седмици след първоначалния пробив, използващ непачнат Exchange сървър като входен вектор, бандата разположи полезни товари на BlackCat ransomware в мрежата чрез PsExec.

„Докато общите вектори за навлизане на тези заплахи включват приложения за отдалечен работен плот и компрометирани идентификационни данни, сега станахме свидетели на използване на  уязвимостите на Exchange сървъра, за да се получи достъп до целевата мрежа“, съобщи екипът за разузнаване на заплахите на Microsoft 365 Defender.

Въпреки че не споменава уязвимостта на Exchange, използвана за първоначален достъп, Microsoft пусна линк със съвет за сигурност от март 2021г. с насоки за разследване и смекчаване на атаки на ProxyLogon.

BlackCat entry via vulnerable Exchange server

Кибер бандите все повече използват BlackCat ransomware

Една от тях, финансово мотивирана група за киберпрестъпления, проследявана като FIN12, е известна с това, че преди това е използвала продуктите  на Ryuk, Conti и Hive при атаки, насочени главно към здравни организации.

Въпреки това, както разкри Mandiant, операторите на FIN12 са много по-бързи, тъй като понякога пропускат стъпката за кражба на данни и им отнема по-малко от два дни, за да пуснат своите криптиращи файлове в мрежата на жертвата. „Забелязахме, че тази група добави BlackCat към своя списък с разпределени зловредни товари от март 2022г.“, добавят от Microsoft.

„Преминаването им към BlackCat от Hive се предполага, че се дължи на публичния дискурс около методологиите за декриптиране на последния.“

BlackCat ransomware също се внедрява и от група, проследявана като DEV-0504, която обикновено ексфилтрира откраднати данни с помощта на Stealbit, злонамерен инструмент, който бандата LockBit предоставя на своите филиали като част от своята програма RaaS.

DEV-0504 е използвала и други щамове на ransomware от декември 2021г., включително BlackMatter, Conti, LockBit 2.0, Revil и Ryuk.

За да се защитят срещу атаки с BlackCat ransomware, Microsoft съветва организациите да преразгледат своите методи  и приложения за защитата на идентификационните си  данни, да наблюдават външния достъп до своите мрежи и да актуализират всички уязвими сървъри на Exchange в тяхната мрежа възможно най-скоро.

Използван при стотици атаки с ransomware

През април ФБР предупреди със „светкавица“, че  BlackCat е бил използван за криптиране на мрежите на най-малко 60 организации по целия свят между ноември 2021г. и март 2022г.

„Много от разработчиците и перачите на пари за BlackCat/ALPHV са свързани с Darkside/Blackmatter, което показва, че имат обширни мрежи и опит с операции за рансъмуер“, казаха от ФБР.

Въпреки това, реалният брой на жертвите на BlackCat най-вероятно е много по-висок, като се има предвид, че повече от 480 проби са били изпратени на платформата ID-Ransomware между ноември 2021г. и юни 2022г.

BlackCat activity

В сигнала си от април ФБР също така помоли администраторите и екипите по сигурността, които откриват активността на BlackCat в техните мрежи, да споделят всяка свързана информация за инцидент с местния киберотряд на ФБР.

Полезна информация, която би помогнала за проследяването и идентифицирането на групите, използващи този рансъмуер в своите атаки, включва „IP журнали, показващи обратни извиквания от чужди IP адреси, биткойн или Monero адреси и идентификатори на транзакции, комуникации с бандите, файла за декриптиране и/или доброкачествена проба от криптиран файл.“

 

Източник: По материали от Интернет

Подобни публикации

1 април 2023

10-годишен бъг в Windows с "opt-in" поправка, и...

Десетгодишна уязвимост на Windows все още се използва при атаки, за...
1 април 2023

Интернет ви наблюдава, може би и вашият шеф?

Всеки ден се създават повече от 2,3 милиарда гигабайта интернет дан...
31 март 2023

Десет стъпки, които ще гарантират киберсигурнос...

  В неотдавнашно проучване на Panda Security в сътрудничество ...
30 март 2023

Интервю с изкуствен интелект

Не остана уважаваща себе си медия, която не е взела интервю от АI п...
30 март 2023

Exchange Online започна блокиране на имейли от ...

Microsoft въвежда нова функция за сигурност на Exchange Online, коя...
30 март 2023

Как да изберете антивирусен софтуер за вашия ма...

Работили сте усилено, за да стартирате бизнеса си. Последното нещо,...
Бъдете социални
Още по темата
01/04/2023

10-годишен бъг в Windows с ...

Десетгодишна уязвимост на Windows все още...
30/03/2023

Как да изберете антивирусен...

Работили сте усилено, за да стартирате...
26/03/2023

Microsoft с OOB актуализаци...

Microsoft пусна извънредна актуализация на сигурността...
Последно добавени
01/04/2023

10-годишен бъг в Windows с ...

Десетгодишна уязвимост на Windows все още...
01/04/2023

Интернет ви наблюдава, може...

Всеки ден се създават повече от...
31/03/2023

Десет стъпки, които ще гара...

  В неотдавнашно проучване на Panda...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!