Microsoft съобщи, че хакерите от BlackCat ransomware атакуват сървъри на Microsoft Exchange, използвайки експлойти, насочени към непоправени уязвимости.
При поне един инцидент, наблюдаван от експертите по сигурността на Microsoft, нападателите бавно преминават през мрежата на жертвата, открадавайки идентификационни данни и извличайки информация, за да бъде използвана за двойно изнудване.
Две седмици след първоначалния пробив, използващ непачнат Exchange сървър като входен вектор, бандата разположи полезни товари на BlackCat ransomware в мрежата чрез PsExec.
„Докато общите вектори за навлизане на тези заплахи включват приложения за отдалечен работен плот и компрометирани идентификационни данни, сега станахме свидетели на използване на уязвимостите на Exchange сървъра, за да се получи достъп до целевата мрежа“, съобщи екипът за разузнаване на заплахите на Microsoft 365 Defender.
Въпреки че не споменава уязвимостта на Exchange, използвана за първоначален достъп, Microsoft пусна линк със съвет за сигурност от март 2021г. с насоки за разследване и смекчаване на атаки на ProxyLogon.
Една от тях, финансово мотивирана група за киберпрестъпления, проследявана като FIN12, е известна с това, че преди това е използвала продуктите на Ryuk, Conti и Hive при атаки, насочени главно към здравни организации.
Въпреки това, както разкри Mandiant, операторите на FIN12 са много по-бързи, тъй като понякога пропускат стъпката за кражба на данни и им отнема по-малко от два дни, за да пуснат своите криптиращи файлове в мрежата на жертвата. „Забелязахме, че тази група добави BlackCat към своя списък с разпределени зловредни товари от март 2022г.“, добавят от Microsoft.
„Преминаването им към BlackCat от Hive се предполага, че се дължи на публичния дискурс около методологиите за декриптиране на последния.“
BlackCat ransomware също се внедрява и от група, проследявана като DEV-0504, която обикновено ексфилтрира откраднати данни с помощта на Stealbit, злонамерен инструмент, който бандата LockBit предоставя на своите филиали като част от своята програма RaaS.
DEV-0504 е използвала и други щамове на ransomware от декември 2021г., включително BlackMatter, Conti, LockBit 2.0, Revil и Ryuk.
За да се защитят срещу атаки с BlackCat ransomware, Microsoft съветва организациите да преразгледат своите методи и приложения за защитата на идентификационните си данни, да наблюдават външния достъп до своите мрежи и да актуализират всички уязвими сървъри на Exchange в тяхната мрежа възможно най-скоро.
През април ФБР предупреди със „светкавица“, че BlackCat е бил използван за криптиране на мрежите на най-малко 60 организации по целия свят между ноември 2021г. и март 2022г.
„Много от разработчиците и перачите на пари за BlackCat/ALPHV са свързани с Darkside/Blackmatter, което показва, че имат обширни мрежи и опит с операции за рансъмуер“, казаха от ФБР.
Въпреки това, реалният брой на жертвите на BlackCat най-вероятно е много по-висок, като се има предвид, че повече от 480 проби са били изпратени на платформата ID-Ransomware между ноември 2021г. и юни 2022г.
В сигнала си от април ФБР също така помоли администраторите и екипите по сигурността, които откриват активността на BlackCat в техните мрежи, да споделят всяка свързана информация за инцидент с местния киберотряд на ФБР.
Полезна информация, която би помогнала за проследяването и идентифицирането на групите, използващи този рансъмуер в своите атаки, включва „IP журнали, показващи обратни извиквания от чужди IP адреси, биткойн или Monero адреси и идентификатори на транзакции, комуникации с бандите, файла за декриптиране и/или доброкачествена проба от криптиран файл.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.