0
0
A Microsoft emitiu comunicado alertando que operadores do ransomware BlackCat agora estão atacando servidores Exchange usando vulnerabilidades não corrigidas no software servidor e-mails corporativos. Em ao menos um incidente observado pelos especialistas em segurança da fabricante de software, os invasores se moveram lentamente pela rede da vítima, roubando credenciais e exfiltrando informações para serem usadas para extorsão dupla.
Duas semanas após o comprometimento inicial usando um servidor Exchange não corrigido como vetor de entrada, os operadores da ameaça implantaram cargas do ransomware BlackCat em toda a rede via PsExec, protocolo de rede na internet ou em redes locais que substitui o Telnet e permite executar processos em outros sistemas.
“Embora os vetores de entrada comuns para esses operadores da ameaça incluam aplicativos de desktop remoto e credenciais comprometidas, também vimos um hacker aproveitar as vulnerabilidades do servidor Exchange para obter acesso à rede de destino”, disse a equipe de inteligência em ameaças do Microsoft 365 Defender.
Embora não tenha mencionado a vulnerabilidade do Exchange usada para acesso inicial, a Microsoft vincula a um comunicado de segurança de março de 2021 com orientações sobre como investigar e mitigar ataques ProxyLogon. Além disso, embora a empresa não tenha nomeado o afiliado de ransomware que implantou o ransomware BlackCat neste estudo de caso, a empresa diz que vários grupos de crimes cibernéticos agora são afiliados dessa operação de ransomware como Serviço (RaaS) e o estão usando ativamente em ataques.
Um desses grupos de crime cibernético é o FIN12, conhecido por implantar os ransomwares Ryuk, Conti e Hive em ataques direcionados principalmente a organizações de saúde. No entanto, como a Mandiant revelou, os operadores do FIN12 são muito mais rápidos, pois às vezes pulam a etapa de roubo de dados e levam menos de dois dias para descartar suas cargas úteis de criptografia de arquivos na rede de um alvo. “Observamos que esse grupo adicionou o BlackCat à sua lista de cargas distribuídas a partir de março de 2022”, acrescentou a Microsoft.
FONTE: CISO ADVISOR