Microsoft saka, ka klientiem ir jānodrošina, ka viņu Exchange servera ielāpi ir atjaunināti, lai neļautu kibernoziedzniekiem izvietot BlackCat izpirkuma programmatūru.
Saskaņā ar Microsoft datiem, vismaz viena izspiedējvīrusu grupa ir pamanīta, izmantojot Exchange Server ievainojamības, lai izvietotu BlackCat izpirkuma programmatūru mērķa tīklos.
Korporācija Microsoft ir brīdinājusi, ka viena kibernoziedznieku banda ir izmantojusi nelabotu Exchange serveri, lai iekļūtu mērķa organizācijā, lai izvietotu bēdīgi slaveno BlackCat/ALPHV ransomware.
Drošība
- 8 ļoti drošu attālināto darbinieku ieradumi
- Kā atrast un noņemt spiegprogrammatūru no tālruņa
- Labākie VPN pakalpojumi: kā salīdzināt labākos 5?
- Kā uzzināt, vai esat iesaistīts datu pārkāpumā, un ko darīt tālāk
Uzņēmums sniedz gadījuma izpēti par vienu kibernoziedznieku grupu, izmantojot Exchange Server nepilnības BlackCat ransomware uzbrukumus, kā arī pārskats par vairākām ransomware bandām, kas iepriekš izmantoja citus ransomware.
SKATĪT: Dominē mākoņdatošana. Taču drošība tagad ir lielākais izaicinājums
FIB aprīlī brīdināja, ka BlackCat izspiedējprogrammatūra ir bijusi kopš 2022. gada marta ir apdraudētas vismaz 60 organizācijas visā pasaulē. BlackCat ir pirmais izspiedējvīruss, kas izveidots uz modernās Rust programmēšanas valodas.
FIB aprīlī brīdināja, ka BlackCat saistītie uzņēmumi izmanto iepriekš apdraudētus lietotāju akreditācijas datus, lai iegūtu sākotnējo piekļuvi upura tīklam, taču nekonstatēja Exchange trūkumus kā ieejas punktu. Tomēr Trend Micro pētnieki tajā laikā ziņoja, ka BlackCat filiāles ir izmantojušas Exchange CVE-2021-31207 kļūda sākotnējā ievade un instalēt tīmekļa čaulu serverī attālai piekļuvei.
Microsoft nenorāda, kura Exchange ievainojamība tika izmantota BlackCat apdraudējumā, ko tā izmeklēja, taču tajā ir sniegta saite uz emuāra ziņu par četras lokālas Exchange Server ievainojamības no tā 2022. gada marta ielāpu otrdienas atjauninājumiem. Tas brīdina par uzbrukumiem, izmantojot trūkumus, lai Exchange serveros ievietotu tīmekļa čaulas, lai nodrošinātu noturību un attālo piekļuvi.
Kā Microsoft skaidro jaunā emuāra ierakstā, BlackCat ir izpirkuma programmatūras kā pakalpojuma darbība, kas sastāv no vairākiem dalībniekiem, kuri var izmantot dažādus rīkus un paņēmienus.
Tādējādi neviens no diviem BlackCat izvietojumiem nevar izskatīties vienādi, sacīja Microsoft.
"Ar BlackCat saistītajiem kompromisiem ir dažādi ievades vektori atkarībā no izspiedējvīrusa saistītā uzņēmuma, kas veic uzbrukumu. Tāpēc arī šo uzbrukumu soļi pirms izpirkuma maksas var ievērojami atšķirties," teikts tajā.
BlackCat filiāles Microsoft svarīgākajiem notikumiem bija nepieciešamas divas nedēļas, lai BlackCat izvietotu pēc tam, kad sākotnēji piekļuvei tika izmantoti nepārlāpīti Exchange serveri. Tas izmantoja PsExec utilītu, lai izvietotu BlackCat. Starp šiem diviem punktiem uzbrucēji pētīja sistēmas un tīkla vidi un apkopoja Active Directory konta datus, izgāza un nozaga akreditācijas datus, pierakstījies vairākās ierīcēs, izmantojot Remote Desktop Client, un nozadzis datus un intelektuālo īpašumu turpmākai lietošanai. dubultā izspiešana.
Cits tajā aprakstītais incidents bija saistīts ar uzbrucējiem, kuri izmantoja iepriekš apdraudētus akreditācijas datus, lai piekļūtu internetam atvērtam attālās darbvirsmas serverim.
Microsoft arī atzīmē, ka vairāk izspiedējvīrusu saistīto uzņēmumu vēršas pie BlackCat.
Piemēram, DEV-0237, ko Mandiant sauc FIN12, agrāk ir izplatījis Hive, Conti un Ryuk izpirkuma programmatūru. Microsoft novēroja, ka šī grupa pievienoja BlackCat savam derīgo kravu sarakstam, sākot ar 2022. gada martu.
Arī DEV-0504, grupa, kas izmanto PsExec, lai izplatītu dažādus izspiedējvīrusu celmus, sāka izplatīt BlackCat 2021. gada decembrī. Iepriekš tas ir izplatījis BlackMatter, Conti, Lockbit 2.0, Revil un Ryuk.
SKATĪT: Neļaujiet mākoņa kiberdrošības izvēlei atstāt durvis atvērtas hakeriem
"Ar BlackCat saistītajos incidentos, ko mēs novērojām, izspiedējvīrusu saistīto uzņēmumu izplatītākie ieejas punkti bija Kompromitēti akreditācijas dati, lai piekļūtu internetam paredzētai attālās piekļuves programmatūrai un nepārlāptiem Exchange serveriem," Microsoft saka.
«Tāpēc aizstāvjiem būtu jāpārskata savas organizācijas identitātes poza, rūpīgi jāuzrauga ārēju piekļuvi un savā vidē atrodiet neaizsargātos Exchange serverus, lai tie tiktu atjaunināti, tiklīdz iespējams."
Vairāk Microsoft
- Vai Windows 10 ir pārāk populāra paša labā?
- Labākie Windows klēpjdatoru modeļi: Dell, Samsung, Lenovo un citu salīdzinājums
- Lūk, kāpēc Windows datori kļūs tikai kaitinošāki
- Kā pazemināt versiju no Windows 11 uz Windows 10 (tur ir āķis)