Gardets

Microsoft: Ransomware-gÀng anvÀnder oparpade Exchange-servrar för att fÄ Ätkomst, sÄ uppdatera

hacker-hands-typing-on-a-keyboard.jpg

Bild: Getty

Minst en ransomware-grupp har upptÀckts anvÀnda Exchange Server-sÄrbarheter för att distribuera BlackCat ransomware pÄ mÄlnÀtverk, enligt Microsoft.

Microsoft har varnat för att ett cyberkriminellt gÀng har anvÀnt en oparpad Exchange-server för att komma in i en mÄlorganisation för att distribuera den ökÀnda BlackCat/ALPHV ransomware.

Företaget tillhandahÄller en fallstudie av ett cyberkriminellt gÀng som anvÀnder Exchange Server-brister i BlackCat ransomware-attacker samt en översikt över flera ransomware-gÀng som tidigare anvÀnt andra ransomware.

SER: Cloud computing dominerar. Men sÀkerheten Àr nu den största utmaningen

FBI varnade i april för att BlackCat ransomware hade Àventyrat minst 60 organisationer vÀrlden över sedan mars 2022. BlackCat Àr det första ransomware som byggts pÄ det moderna Rust-programmeringssprÄket.

FBI varnade i april för att BlackCats medlemsförbund anvÀnder tidigare komprometterade anvÀndaruppgifter för att fÄ första Ätkomst till ett offernÀtverk, men identifierade inte Exchange-brister som en ingÄngspunkt. Men forskare vid Trend Micro rapporterade vid den tidpunkten att BlackCat-filialer hade anvÀnt Exchange CVE-2021-31207-felet initialt och för att installera ett webbskal pÄ servern för fjÀrrÄtkomst.

Microsoft specificerar inte vilken Exchange-sÄrbarhet som anvÀndes i BlackCat-kompromissen som den undersökte, men den ger en lÀnk till ett blogginlÀgg om fyra lokala Exchange Server-sÄrbarheter frÄn deras Patch Tuesday-uppdateringar frÄn mars 2022. Den varnar för attacker som anvÀnder bristerna för att infoga webbskal pÄ Exchange-servrar för uthÄllighet och fjÀrrÄtkomst.

Som Microsoft förklarar i ett nytt blogginlÀgg Àr BlackCat en ransomware-as-a-service-operation, som bestÄr av flera aktörer som kan anvÀnda olika verktyg och tekniker.

SÄledes kan inga tvÄ BlackCat-distributioner se likadana ut, sa Microsoft.

“BlackCat-relaterade kompromisser har olika ingĂ„ngsvektorer, beroende pĂ„ vilken ransomware-filial som utför attacken. DĂ€rför kan stegen före lösen för dessa attacker ocksĂ„ skilja sig markant, heter det.

BlackCat affiliate Microsofts höjdpunkter tog tvÄ veckor att distribuera BlackCat efter att ha utnyttjat de oparpade Exchange-servrarna för första Ätkomst. Den anvÀnde PsExec-verktyget för att distribuera BlackCat. Mellan dessa tvÄ punkter utforskade angriparna system- och nÀtverksmiljöer och samlade in Active Directory-kontodata, dumpade och stal autentiseringsuppgifter, loggade in pÄ flera enheter med hjÀlp av Remote Desktop Client och stal data och immateriell egendom för efterföljande dubbelutpressning.

Den andra incidenten som den beskriver involverade angripare som anvÀnde tidigare komprometterade autentiseringsuppgifter för att fÄ Ätkomst till en Remote Desktop-server som vÀnder sig mot internet.

Microsoft noterar ocksÄ att fler ransomware-affiliates vÀnder sig till BlackCat.

Till exempel har DEV-0237, som Mandiant kallar FIN12, tidigare distribuerat Hive, Conti och Ryuk ransomware. Microsoft observerade att denna grupp lade till BlackCat till sin lista över nyttolaster frÄn och med mars 2022.

Dessutom började DEV-0504, en grupp som anvÀnder PsExec för att distribuera olika ransomware-stammar distribuera BlackCat i december 2021. Tidigare har den distribuerat BlackMatter, Conti, Lockbit 2.0, Revil och Ryuk.

SER: LÄt inte dina val av cybersÀkerhet i molnet lÀmna dörren öppen för hackare

“I de BlackCat-relaterade incidenter som vi har observerat, var de vanliga ingĂ„ngspunkterna för ransomware-affiliates via komprometterade autentiseringsuppgifter för att komma Ă„t internetansluten fjĂ€rrĂ„tkomstprogramvara och oparpade Exchange-servrar,” sĂ€ger Microsoft.

“DĂ€rför bör försvarare se över sin organisations identitetsstĂ€llning, noggrant övervaka extern Ă„tkomst och lokalisera sĂ„rbara Exchange-servrar i sin miljö för att uppdatera sĂ„ snart som möjligt.”

HĂ„ll kontakten med oss ​​pĂ„ sociala medieplattformar för omedelbar uppdatering klicka hĂ€r för att gĂ„ med i vĂ„r Twitter och Facebook

BotĂłn volver arriba

Annonsblockerare upptÀckt

Du mÄste ta bort AD BLOCKER för att fortsÀtta anvÀnda vÄr webbplats TACK