Niektóre z najniebezpieczniejszych odmian oprogramowania ransomware mają teraz

Każdy atak ransomware zaczyna się od zainfekowanego punktu końcowego, a w tym celu cyberprzestępcy zaczęli badać serwery Microsoft Exchange. Według raportu (Otwiera się w nowej karcie) opublikowanego przez zespół Microsoft 365 Defender Threat Intelligence, co najmniej jeden niezałatany i podatny na ataki serwer (otwiera się w nowej karcie) był celem oszustów i nadużywany w celu uzyskania dostępu do sieci docelowej.

Po zdobyciu przyczółka cyberprzestępcy ukrywali się, mapowali sieć, kradli dane uwierzytelniające i eksfiltrowali dane, aby wykorzystać je później w ataku podwójnego wymuszenia.

Po pomyślnym wykonaniu tych kroków cyberprzestępca wdrożył oprogramowanie ransomware BlackCat za pośrednictwem PsExec.

potencjalni napastnicy

„Podczas gdy typowe wektory wejścia dla tych cyberprzestępców obejmują aplikacje zdalnego pulpitu i zhakowane poświadczenia, widzieliśmy również, że cyberprzestępca wykorzystuje luki w serwerze Exchange, aby uzyskać dostęp do sieci docelowej” – powiedział zespół z Microsoft 365 Defender Threat Intelligence.

Chociaż te rzeczy są faktami, jest jeszcze kilka innych, które są obecnie w sferze spekulacji, a mianowicie wykorzystywane luki w zabezpieczeniach i zaangażowani cyberprzestępcy. BleepingComputer uważa, że ​​luka w omawianym serwerze Exchange została uwzględniona w poradniku bezpieczeństwa z marca 2021 r., który sugeruje środki łagodzące ataki ProxyLogon.

Jeśli chodzi o potencjalnych cyberprzestępców, na szczycie listy znajdują się dwie nazwy: FIN12 i DEV-0504. Podczas gdy ta pierwsza jest grupą motywowaną finansowo, znaną z wdrażania złośliwego oprogramowania (otwiera się w nowej karcie) i odmian oprogramowania ransomware w przeszłości, ta druga jest powiązaną grupą, która zazwyczaj wdraża Stealbit w celu kradzieży danych.

„Zauważamy, że ta grupa dodała BlackCat do swojej listy rozproszonych ładunków od marca 2022 r.” — powiedział Microsoft o FIN12. „Podejrzewa się, że przejście do BlackCat z ostatnio używanego ładunku (Hive) jest spowodowane publicznym dyskursem na temat metod odszyfrowywania tego ostatniego”.

Aby bronić się przed oprogramowaniem ransomware, Microsoft sugeruje, aby firmy aktualizowały swoje punkty końcowe i monitorowały swoje sieci (otwierane w nowej karcie) pod kątem podejrzanego ruchu. Wdrożenie silnego rozwiązania z zakresu cyberbezpieczeństwa (otwiera się w nowej karcie) też jest zawsze dobrym pomysłem.

Przez: BleepingComputer (Otwiera się w nowej karcie)

Udostępnij to