Ogni attacco ransomware inizia con un endpoint compromesso e, a tal fine, gli attori delle minacce hanno ora iniziato a esaminare i server Microsoft Exchange. Secondo un rapporto (Si apre in una nuova scheda) pubblicato dal team di Microsoft 365 Defender Threat Intelligence, almeno un server senza patch e vulnerabile (Si apre in una nuova scheda) è stato preso di mira da truffatori e abusato per ottenere l'accesso alla rete di destinazione.
Dopo aver preso piede, gli attori delle minacce si sono nascosti, hanno mappato la rete, rubato le credenziali ed esfiltrato i dati per utilizzarli in seguito in un attacco a doppia estorsione.
Una volta completati con successo questi passaggi, l'attore delle minacce ha distribuito il ransomware BlackCat tramite PsExec.
potenziali attaccanti
"Sebbene i vettori di accesso comuni per questi attori delle minacce includano applicazioni desktop remote e credenziali compromesse, abbiamo anche visto un attore delle minacce sfruttare le vulnerabilità nel server Exchange per ottenere l'accesso alla rete di destinazione", ha affermato il team di Microsoft 365 Defender Threat Intelligence.
Mentre queste cose sono fatti, ce ne sono alcune altre, attualmente nel regno della speculazione, vale a dire le vulnerabilità abusate e gli attori delle minacce coinvolti. BleepingComputer ritiene che la vulnerabilità nel server Exchange in questione sia stata trattata nell'avviso di sicurezza di marzo 2021, che suggerisce mitigazioni per gli attacchi ProxyLogon.
Quando si tratta di potenziali attori delle minacce, due nomi sono in cima alla lista: FIN12 e DEV-0504. Mentre il primo è un gruppo motivato finanziariamente noto per aver distribuito malware (si apre in una nuova scheda) e ceppi di ransomware in passato, il secondo è un gruppo affiliato che in genere implementa Stealbit per rubare dati.
"Notiamo che questo gruppo ha aggiunto BlackCat al proprio elenco di payload distribuiti a partire da marzo 2022", ha affermato Microsoft di FIN12. "Si sospetta che il suo passaggio a BlackCat dal suo ultimo payload utilizzato (Hive) sia dovuto al discorso pubblico sulle metodologie di decrittazione di quest'ultimo".
Per difendersi dal ransomware, Microsoft suggerisce alle aziende di mantenere aggiornati i propri endpoint e monitorare le proprie reti (si apre in una nuova scheda) per il traffico sospetto. Anche l'implementazione di una solida soluzione di sicurezza informatica (si apre in una nuova scheda) è sempre una buona idea.
Via: BleepingComputer (si apre in una nuova scheda)