Засилват се атаките с BlackCat ransomware

Microsoft съобщи, че хакерите от  BlackCat ransomware атакуват сървъри на Microsoft Exchange, използвайки експлойти, насочени към непоправени уязвимости.

При поне един инцидент, наблюдаван от експертите по сигурността на Microsoft, нападателите бавно преминават през мрежата на жертвата, открадавайки идентификационни данни и извличайки информация, за да бъде използвана за двойно изнудване.

Две седмици след първоначалния пробив, използващ непачнат Exchange сървър като входен вектор, бандата разположи полезни товари на BlackCat ransomware в мрежата чрез PsExec.

„Докато общите вектори за навлизане на тези заплахи включват приложения за отдалечен работен плот и компрометирани идентификационни данни, сега станахме свидетели на използване на  уязвимостите на Exchange сървъра, за да се получи достъп до целевата мрежа“, съобщи екипът за разузнаване на заплахите на Microsoft 365 Defender.

Въпреки че не споменава уязвимостта на Exchange, използвана за първоначален достъп, Microsoft пусна линк със съвет за сигурност от март 2021г. с насоки за разследване и смекчаване на атаки на ProxyLogon.

BlackCat entry via vulnerable Exchange server

Кибер бандите все повече използват BlackCat ransomware

Една от тях, финансово мотивирана група за киберпрестъпления, проследявана като FIN12, е известна с това, че преди това е използвала продуктите  на Ryuk, Conti и Hive при атаки, насочени главно към здравни организации.

Въпреки това, както разкри Mandiant, операторите на FIN12 са много по-бързи, тъй като понякога пропускат стъпката за кражба на данни и им отнема по-малко от два дни, за да пуснат своите криптиращи файлове в мрежата на жертвата. „Забелязахме, че тази група добави BlackCat към своя списък с разпределени зловредни товари от март 2022г.“, добавят от Microsoft.

„Преминаването им към BlackCat от Hive се предполага, че се дължи на публичния дискурс около методологиите за декриптиране на последния.“

BlackCat ransomware също се внедрява и от група, проследявана като DEV-0504, която обикновено ексфилтрира откраднати данни с помощта на Stealbit, злонамерен инструмент, който бандата LockBit предоставя на своите филиали като част от своята програма RaaS.

DEV-0504 е използвала и други щамове на ransomware от декември 2021г., включително BlackMatter, Conti, LockBit 2.0, Revil и Ryuk.

За да се защитят срещу атаки с BlackCat ransomware, Microsoft съветва организациите да преразгледат своите методи  и приложения за защитата на идентификационните си  данни, да наблюдават външния достъп до своите мрежи и да актуализират всички уязвими сървъри на Exchange в тяхната мрежа възможно най-скоро.

Използван при стотици атаки с ransomware

През април ФБР предупреди със „светкавица“, че  BlackCat е бил използван за криптиране на мрежите на най-малко 60 организации по целия свят между ноември 2021г. и март 2022г.

„Много от разработчиците и перачите на пари за BlackCat/ALPHV са свързани с Darkside/Blackmatter, което показва, че имат обширни мрежи и опит с операции за рансъмуер“, казаха от ФБР.

Въпреки това, реалният брой на жертвите на BlackCat най-вероятно е много по-висок, като се има предвид, че повече от 480 проби са били изпратени на платформата ID-Ransomware между ноември 2021г. и юни 2022г.

BlackCat activity

В сигнала си от април ФБР също така помоли администраторите и екипите по сигурността, които откриват активността на BlackCat в техните мрежи, да споделят всяка свързана информация за инцидент с местния киберотряд на ФБР.

Полезна информация, която би помогнала за проследяването и идентифицирането на групите, използващи този рансъмуер в своите атаки, включва „IP журнали, показващи обратни извиквания от чужди IP адреси, биткойн или Monero адреси и идентификатори на транзакции, комуникации с бандите, файла за декриптиране и/или доброкачествена проба от криптиран файл.“

 

Източник: По материали от Интернет

Подобни публикации

6 декември 2022

Най-големият пазар на малуер за мобилни устройс...

Изследователи в областта на киберсигурността хвърлиха светлина върх...
5 декември 2022

Социалните медии повишават насилието в училище

Нов доклад, публикуван от британския мозъчен тръст Crest Advisory, ...
4 декември 2022

Google с нова актуализация на Chrome, поправя ...

  В петък гигантът в областта на търсенето в интернет Google п...
1 декември 2022

Google с обвинения към испански шпионски софтуер

Смята се, че базираният в Барселона доставчик на софтуер за наблюде...
1 декември 2022

За дигиталните активи на починалите

Напоследък много наши потребители ни питат какво се случва с пароли...
30 ноември 2022

Уязвимост на Hyundai позволява хакване на ключ...

Изследователи са открили недостатъци в редица приложения, свързани ...
Бъдете социални
Още по темата
25/11/2022

Арестуваха 142 души при гло...

В резултат на координирани усилия на...
22/11/2022

Google Cloud Platform вече ...

Toвa е един от най-широко използваните...
20/11/2022

Какво представлява DDoS?

Много популярни марки – като Google,...
Последно добавени
06/12/2022

Най-големият пазар на малуе...

Изследователи в областта на киберсигурността хвърлиха...
05/12/2022

Социалните медии повишават ...

Нов доклад, публикуван от британския мозъчен...
04/12/2022

Google с нова актуализация ...

  В петък гигантът в областта...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!