Bild: Getty
Minst en ransomware-grupp har upptäckts använda Exchange Server-sårbarheter för att distribuera BlackCat ransomware på målnätverk, enligt Microsoft.
Microsoft har varnat för att ett cyberkriminellt gäng har använt en oparpad Exchange-server för att komma in i en målorganisation för att distribuera den ökända BlackCat/ALPHV ransomware.
Företaget tillhandahåller en fallstudie av ett cyberkriminellt gäng som använder Exchange Server-brister i BlackCat ransomware-attacker samt en översikt över flera ransomware-gäng som tidigare använt andra ransomware.
SER: Cloud computing dominerar. Men säkerheten är nu den största utmaningen
FBI varnade i april för att BlackCat ransomware hade äventyrat minst 60 organisationer världen över sedan mars 2022. BlackCat är det första ransomware som byggts på det moderna Rust-programmeringsspråket.
FBI varnade i april för att BlackCats medlemsförbund använder tidigare komprometterade användaruppgifter för att få första åtkomst till ett offernätverk, men identifierade inte Exchange-brister som en ingångspunkt. Men forskare vid Trend Micro rapporterade vid den tidpunkten att BlackCat-filialer hade använt Exchange CVE-2021-31207-felet initialt och för att installera ett webbskal på servern för fjärråtkomst.
Microsoft specificerar inte vilken Exchange-sårbarhet som användes i BlackCat-kompromissen som den undersökte, men den ger en länk till ett blogginlägg om fyra lokala Exchange Server-sårbarheter från deras Patch Tuesday-uppdateringar från mars 2022. Den varnar för attacker som använder bristerna för att infoga webbskal på Exchange-servrar för uthållighet och fjärråtkomst.
Som Microsoft förklarar i ett nytt blogginlägg är BlackCat en ransomware-as-a-service-operation, som består av flera aktörer som kan använda olika verktyg och tekniker.
Således kan inga två BlackCat-distributioner se likadana ut, sa Microsoft.
“BlackCat-relaterade kompromisser har olika ingångsvektorer, beroende på vilken ransomware-filial som utför attacken. Därför kan stegen före lösen för dessa attacker också skilja sig markant, heter det.
BlackCat affiliate Microsofts höjdpunkter tog två veckor att distribuera BlackCat efter att ha utnyttjat de oparpade Exchange-servrarna för första åtkomst. Den använde PsExec-verktyget för att distribuera BlackCat. Mellan dessa två punkter utforskade angriparna system- och nätverksmiljöer och samlade in Active Directory-kontodata, dumpade och stal autentiseringsuppgifter, loggade in på flera enheter med hjälp av Remote Desktop Client och stal data och immateriell egendom för efterföljande dubbelutpressning.
Den andra incidenten som den beskriver involverade angripare som använde tidigare komprometterade autentiseringsuppgifter för att få åtkomst till en Remote Desktop-server som vänder sig mot internet.
Microsoft noterar också att fler ransomware-affiliates vänder sig till BlackCat.
Till exempel har DEV-0237, som Mandiant kallar FIN12, tidigare distribuerat Hive, Conti och Ryuk ransomware. Microsoft observerade att denna grupp lade till BlackCat till sin lista över nyttolaster från och med mars 2022.
Dessutom började DEV-0504, en grupp som använder PsExec för att distribuera olika ransomware-stammar distribuera BlackCat i december 2021. Tidigare har den distribuerat BlackMatter, Conti, Lockbit 2.0, Revil och Ryuk.
SER: Låt inte dina val av cybersäkerhet i molnet lämna dörren öppen för hackare
“I de BlackCat-relaterade incidenter som vi har observerat, var de vanliga ingångspunkterna för ransomware-affiliates via komprometterade autentiseringsuppgifter för att komma åt internetansluten fjärråtkomstprogramvara och oparpade Exchange-servrar,” säger Microsoft.
“Därför bör försvarare se över sin organisations identitetsställning, noggrant övervaka extern åtkomst och lokalisera sårbara Exchange-servrar i sin miljö för att uppdatera så snart som möjligt.”
Håll kontakten med oss på sociala medieplattformar för omedelbar uppdatering klicka här för att gå med i vår Twitter och Facebook
