Serwery Microsoft Exchange zhakowane w celu wdrożenia oprogramowania ransomware

Serwery Microsoft Exchange zhakowane w celu wdrożenia oprogramowania ransomware

Każdy atak oprogramowania ransomware zaczyna się od złamanego punktu końcowego i w tym celu cyberprzestępcy rozpoczęli teraz sprawdzanie serwerów Microsoft Exchange. Według raportu (otwiera się w nowej karcie) opublikowanego przez zespół ds. analizy zagrożeń usługi Microsoft 365 Defender co najmniej jeden niezałatany i podatny na ataki serwer (otwiera się w nowej karcie) został zaatakowany przez oszustów i wykorzystany w celu uzyskania dostępu do sieci docelowej.

Po zdobyciu przyczółka przestępcy ukryli się, mapując sieć, kradnąc dane uwierzytelniające i wydobywając dane w celu późniejszego wykorzystania w podwójnym ataku wymuszenia.

Po pomyślnym wykonaniu tych kroków ugrupowanie zagrażające wdrożyło oprogramowanie ransomware BlackCat za pośrednictwem PsExec.

Potencjalni napastnicy

„Chociaż typowe wektory wejścia dla tych aktorów zagrożeń obejmują aplikacje pulpitu zdalnego i naruszone dane uwierzytelniające, zaobserwowaliśmy również, że ugrupowanie zagrażające wykorzystuje luki w zabezpieczeniach serwera Exchange, aby uzyskać dostęp do sieci docelowej” – stwierdził zespół z Microsoft 365 Defender Threat Intelligence.

Chociaż są to fakty, w sferze spekulacji znajduje się jeszcze kilka innych, a mianowicie wykorzystywane luki w zabezpieczeniach i zaangażowane podmioty zagrażające. BleepingComputer uważa, że ​​luka w zabezpieczeniach omawianego serwera Exchange została uwzględniona w poradniku bezpieczeństwa z marca 2021 r., który sugeruje środki zaradcze w przypadku ataków ProxyLogon.

Jeśli chodzi o potencjalne podmioty zagrażające, na szczycie listy znajdują się dwie nazwy: FIN12 i DEV-0504. Podczas gdy pierwsza z nich to grupa motywowana finansowo, znana z wdrażania w przeszłości złośliwego oprogramowania (otwiera się w nowej karcie) i odmian oprogramowania ransomware, druga jest powiązaną grupą, która zazwyczaj wykorzystuje Stealbit do kradzieży danych.

„Zauważamy, że ta grupa dodała BlackCat do swojej listy rozproszonych ładunków począwszy od marca 2022 r.”, powiedział Microsoft o FIN12. „Podejrzewa się, że jego przejście na BlackCat z ostatnio używanego ładunku (Hive) wynika z publicznego dyskursu na temat metod odszyfrowywania tego ostatniego”.

Aby chronić się przed oprogramowaniem ransomware, Microsoft sugeruje, aby firmy aktualizowały swoje punkty końcowe i monitorowały swoje sieci (otwiera się w nowej karcie) pod kątem podejrzanego ruchu. Wdrożenie solidnego rozwiązania w zakresie cyberbezpieczeństwa (otwiera się w nowej karcie) jest również zawsze dobrym pomysłem.

Przez: BleepingComputer (Otwiera się w nowej karcie)