Några av de farligaste ransomware-stammarna har nu

Varje ransomware-attack börjar med en komprometterad slutpunkt, och för det ändamålet har hotaktörer nu börjat undersöka Microsoft Exchange-servrar. Enligt en rapport (Öppnas i en ny flik) publicerad av Microsoft 365 Defender Threat Intelligence-teamet har minst en oparpad och sårbar server (Öppnas i en ny flik) blivit måltavla av bedragare och missbrukats för att få tillgång till destinationsnätverket.

Efter att ha fått fotfäste gömde sig hotaktörerna, kartlade nätverket, stal autentiseringsuppgifter och exfiltrerade data för att senare använda i en dubbelutpressningsattack.

När dessa steg väl hade slutförts, distribuerade hotaktören BlackCat ransomware via PsExec.

potentiella angripare

"Medan vanliga ingångsvektorer för dessa hotaktörer inkluderar fjärrskrivbordsapplikationer och komprometterade referenser, har vi också sett en hotaktör utnyttja sårbarheter i Exchange-servern för att få tillgång till målnätverket," sa teamet från Microsoft 365 Defender Threat Intelligence.

Även om dessa saker är fakta, finns det några fler, för närvarande i spekulationsområdet, nämligen sårbarheterna som missbrukas och de inblandade hotaktörerna. BleepingComputer tror att sårbarheten i Exchange-servern i fråga täcktes i säkerhetsrådgivningen från mars 2021, som föreslår begränsningar för ProxyLogon-attacker.

När det kommer till potentiella hotaktörer toppar två namn listan: FIN12 och DEV-0504. Medan den förra är en ekonomiskt motiverad grupp känd för att distribuera skadlig programvara (öppnas i en ny flik) och ransomware-stammar i det förflutna, är den senare en ansluten grupp som vanligtvis använder Stealbit för att stjäla data.

"Vi noterar att den här gruppen lade till BlackCat till sin lista över distribuerade nyttolaster från och med mars 2022," sa Microsoft om FIN12. "Dess flytt till BlackCat från dess senast använda nyttolast (Hive) misstänks bero på offentlig diskurs om den senares dekrypteringsmetoder."

För att försvara sig mot ransomware föreslår Microsoft att företag håller sina slutpunkter uppdaterade och övervakar sina nätverk (öppnas i en ny flik) för misstänkt trafik. Att implementera en stark cybersäkerhetslösning (öppnas i en ny flik) är också alltid en bra idé.

Via: BleepingComputer (öppnas i en ny flik)

Dela detta