Η Microsoft αναφέρει πως το BlackCat ransomware επιτίθεται τώρα σε Exchange servers χρησιμοποιώντας ευπάθειες που στοχεύουν μη επιδιορθωμένα τρωτά σημεία.
Σε ένα τουλάχιστον περιστατικό που παρατήρησαν οι ειδικοί σε θέματα ασφάλειας της Microsoft, οι επιτιθέμενοι πέρασαν αργά μέσα στο δίκτυο του θύματος, κλέβοντας διαπιστευτήρια και διείσδυσαν σε πληροφορίες για να χρησιμοποιηθούν για διπλό εκβιασμό.
Δυο εβδομάδες μετα τον αρχικό συμβιβασμό χρησιμοποιώντας έναν μη επιδιορθωμένα Exchange servers ως φορέα εισόδου, οι hackers ανέπτυξαν ωφέλιμα φορτία ransomware BlackCat σε όλο το δίκτυο μέσω PsExec. “Ενώ τα κοινά access points για αυτούς του hackers περιλαμβάνουν εφαρμογές απομακρυσμένης επιφάνειας εργασίας και παραβιασμένα διαπιστευτήρια, είδαμε επίσης έναν hacker να αξιοποιεί ευπάθειες διακομιστή Exchange για να αποκτήσει πρόσβαση στο δίκτυο-στόχο”, δήλωσε η ομάδα πληροφοριών του Microsoft 365 Defender Threat.
Αν και δεν ανέφερε την ευπάθεια του Exchange που χρησιμοποιήθηκε για την αρχική πρόσβαση, η Microsoft την συνέδεσε με μια συμβουλή ασφαλείας από τον Μάρτιο του 2021 με οδηγίες για τη διερεύνηση και τον μετριασμό των επιθέσεων ProxyLogon. Επίσης, ενώ η Microsoft δεν κατανόμασε ποιοι βρίσκονται πίσω από το BlackCat ransomware σε αυτήν την περίπτωση, η εταιρεία λέει ότι αρκετές ομάδες κυβερνοεγκλήματος χρησιμοποιούν τη λειτουργία Ransomware as a Service (Raas) και το χρησιμοποιούν ενεργά σε επιθέσεις.
Cybercriminals flock to BlackCat ransomware
Ένας από αυτούς, μια ομάδα εγκλήματος στον κυβερνοχώρο με οικονομικά κίνητρα που παρακολουθείται ως FIN12, είναι γνωστή για την ανάπτυξη των Ryuk, conti και Hive Ransomware σε επιθέσεις που στοχεύουν κυρίως οργανισμούς υγειονομικής περίθαλψης.
Ωστόσο, όπως αποκάλυψε η Mandiant, οι FIN12 είναι πολύ πιο γρήγοροι καθώς μερικές φορές παρακάμπτουν το βήμα κλοπής δεδομένων και χρειάζονται λιγότερο από δύο ημέρες για να ρίξουν τα ωφέλιμα φορτία κρυπτογράφησης αρχείων στο δίκτυο ενός στόχου.
“Παρατηρήσαμε ότι αυτή η ομάδα πρόσθεσε το BlackCat στη λίστα με τα κατανεμημένα ωφέλιμα φορτία από τον Μάρτιο του 2022”, πρόσθεσε η Microsoft.
“Η μετάβαση τους στο BlackCat από το τελευταίο ωφέλιμο φορτίο που χρησιμοποιήθηκε (Hive) εικάζεται ότι οφείλεται στη δημόσια συζήτηση γύρω από τις μεθοδολογίες αποκρυπτογράφησης του τελευταίου.”
Το BlackCat ransomware αναπτύσσεται επίσης από μια ομάδα που παρακολουθείται ως DEV-0504 που συνήθως χρησιμοποιεί κλεμμένα δεδομένα μέσω του Stealbit, ένα κακόβουλο εργαλείο που παρέχει η συμμορία LockBit στους συνεργάτες της ως μέρος του προγράμματος RaaS. Η DEV-0504 έχει επίσης χρησιμοποιήσει άλλα στελέχη ransomware ξεκινώντας από τον Δεκέμβριο του 2021, συμπεριλαμβανομένων των BlackMatter, Conti, LockBit 2.0, Revil και Ryuk.
Για να αμυνθεί από επιθέσεις BlackCat ransomware, η Microsoft συμβουλεύει τους οργανισμούς να ελέγχουν για περίεργες κινήσεις/συμπεριφορές, να παρακολουθούν την εξωτερική πρόσβαση στα δίκτυα τους και να ενημερώσουν όλα τα ευάλωτα Exchange servers στο περιβάλλον τους το συντομότερο δυνατό.
Χρησιμοποιείται σε εκατοντάδες επιθέσεις ransomware
Τον Απρίλιο, το FBI προειδοποίησε με ταχεία ειδοποίηση ότι το BlackCat ransomware είχε χρησιμοποιηθεί για την κρυπτογράφηση των δικτύων τουλάχιστον 60 οργανισμών παγκοσμίως μεταξύ Νοεμβρίου 2021 και Μαρτίου 2022.
“Πολλοί από τους προγραμματιστές για το BlackCat/ALPHV συνοδέυονται με το Darkside/Blackmatter, υποδεικνύοντας ότι διαθέτουν εκτεταμένα δίκτυα και εμπειρία με επιχειρήσεις ransomware”, δήλωσε το FBI εκείνη την εποχή.
Ωστόσο, ο πραγματικός αριθμός των θυμάτων BlackCart είναι πιθανότατα πολύ μεγαλύτερος, δεδομένου ότι περισσότερα από 480 δείγματα έχουν υποβληθεί στην πλατφόρμα ID-Ransomware μεταξύ Νοεμβρίου 2021 και Ιουνίου 2022.
