Microsoft казва, че клиентите трябва да се уверят, че корекциите на сървъра им за Exchange са актуални, за да попречат на киберпрестъпниците да разположат BlackCat рансъмуер.
Поне една група от рансъмуер е била забелязана да използва уязвимости на Exchange Server, за да внедри рансъмуер BlackCat в целеви мрежи, според Microsoft.
Microsoft предупреди, че една банда от киберпрестъпници е използвала непоправен Exchange Server, за да влезе в целева организация за внедряване на прословутия BlackCat/ALPHV ransomware.
Сигурност
- 8 навика на много сигурни дистанционни работници
- Как да намерите и премахнете шпионски софтуер от телефона си
- Най-добрите VPN услуги: Как се сравняват топ 5?
- Как да разберете дали сте замесени в нарушение на сигурността на данните -- и какво да направите след това
Компанията предоставя казус на една киберпрестъпна банда, използваща недостатъци на Exchange Server в BlackCat ransomware атаки, както и преглед на множество банди ransomware, които преди това са използвали други ransomware.
ВИЖ: Облачните изчисления доминират. Но сигурността сега е най-голямото предизвикателство
ФБР през април предупреди, че BlackCat рансъмуер има компрометира най-малко 60 организации по света от март 2022 г. BlackCat е първият рансъмуер, изграден върху съвременния програмен език Rust.
През април ФБР предупреди, че филиалите на BlackCat използват преди това компрометирани потребителски идентификационни данни, за да получат първоначален достъп до мрежата на жертва, но не идентифицира пропуските на Exchange като входна точка. Въпреки това, изследователи от Trend Micro по това време съобщиха, че филиалите на BlackCat са използвали борсата CVE-2021-31207 първоначално въвеждане на недостатък и да инсталирате уеб обвивка на сървъра за отдалечен достъп.
Microsoft не уточнява коя уязвимост на Exchange е използвана в компромиса с BlackCat, който разследва, но предоставя връзка към публикация в блог за четири локални уязвимости на Exchange Server от актуализациите му във вторник на корекцията от март 2022 г.. Той предупреждава за атаки, използващи пропуските, за да вмъкнат уеб черупки на Exchange сървъри за постоянство и отдалечен достъп.
Като Microsoft обяснява в нова публикация в блога, BlackCat е операция за рансъмуер като услуга, състояща се от множество участници, които могат да използват различни инструменти и техники.
По този начин няма две внедрявания на BlackCat, които може да изглеждат еднакво, каза Microsoft.
„Свързаните с BlackCat компромиси имат различни входни вектори, в зависимост от филиала на ransomware, който извършва атаката. Следователно стъпките преди откупа на тези атаки също могат да бъдат значително различни“, се казва в съобщението.
Партньорът на BlackCat подчертава, че Microsoft отне две седмици, за да внедри BlackCat след използване на необработените Exchange сървъри за първоначален достъп. Той използва помощната програма PsExec за внедряване на BlackCat. Между тези две точки нападателите проучиха системни и мрежови среди и събраха данни за акаунти в Active Directory, изхвърлиха и откраднаха идентификационни данни, влезли в множество устройства с помощта на клиента за отдалечен работен плот и откраднали данни и интелектуална собственост за последващо двойно изнудване.
Другият инцидент включва нападатели, използващи преди това компрометирани идентификационни данни за достъп до интернет сървър за отдалечен работен плот.
Microsoft също така отбелязва, че повече партньори на ransomware се обръщат към BlackCat.
Например, DEV-0237, което Mandiant вика FIN12, в миналото е разпространявал рансъмуер Hive, Conti и Ryuk. Microsoft отбеляза, че тази група е добавила BlackCat към списъка си с полезни товари в началото на март 2022 г.
Освен това DEV-0504, група, която използва PsExec за разпространение на различни щамове рансъмуер, започна да разпространява BlackCat през декември 2021 г. Преди това е разпространявал BlackMatter, Conti, Lockbit 2.0, Revil и Ryuk.
ВИЖ: Не позволявайте изборът ви на облачна киберсигурност да остави вратата отворена за хакери
„В инцидентите, свързани с BlackCat, които наблюдавахме, общите входни точки за партньорите на ransomware бяха чрез компрометирани идентификационни данни за достъп до софтуер за отдалечен достъп с интернет и необработени сървъри на Exchange“, Microsoft казва.
„Следователно защитниците трябва да преразгледат идентичността на своята организация, внимателно да наблюдават външен достъп и локализиране на уязвими Exchange сървъри в тяхната среда, за да се актуализират веднага възможен."
Още Microsoft
- Дали Windows 10 е твърде популярен за собственото си добро?
- Най-добрите модели лаптопи с Windows: Сравнение на Dell, Samsung, Lenovo и др
- Ето защо компютрите с Windows ще стават все по-досадни
- Как да преминете от Windows 11 към Windows 10 (има уловка)