Поделиться
Серверы Microsoft Exchange под атакой нового шифровальщика
BlackCat - относительно новый шифровальщик, распространяемый по модели RaaS. Использующие его хакеры всё чаще стали начинать атаки со взломов серверов Microsoft Exchange, на которые не установлены патчи от старых уязвимостей.
Старые раны
Microsoft объявила, что партнёры шифровальной группировки BlackCat атакуют серверы Microsoft Exchange, используя незакрытые уязвимости.
Как минимум единожды эксперты по безопасности Microsoft увидели, что злоумышленники медленно перемещались по корпоративной сети жертвы, собирая реквизиты доступа и выводя информацию, которая затем могла быть использована для двойного вымогательства (то есть, предполагалось, что жертвы должны были заплатить и за дешифровку, и за нераспространение конфиденциальных данных).
Через две недели после старта атаки, начавшейся с компрометации сервера Exchange, злоумышленники распространили по всей сети шифровальщик, используя PsExec.
Судя по всему, хакеры использовали уязвимости ProxyLogon, которым уже больше года.
Перекрёстное опыление
BlackCat чаще всего проникают в целевую сеть, используя средства удалённого управления компьютерами и полученные тем или иным образом реквизиты доступа, но количество атак на Exchange растёт.
BlackCat - это шифровальщик, работающий по модели RaaS (шифровальщик как услуга), и им пользуются уже несколько разных киберпреступных группировок. Среди них - FIN12, ранее замеченная в распространении шифровальщиков Ryuk, Conti и Hive; основными жертвами FIN12 оказывались организации из сферы здравоохранения. С февраля эта группировка переключилась на BlackCat, возможно, из-за того, что обнаружились способы дешифровки Hive.
Кроме того, BlackCat используется группировкой DEV-054, которая известна тем, что выводит краденых данных с помощью Stealbit, вредоносного инструмента, который своим клиентам предоставляет ещё одна группировка - LockBit.
DEV-054 также активно использует или использовала прежде вредоносы BlackMatter, Conti, LockBit 2.0, Revil и Ryuk.
В апреле ФБР опубликовало бюллетень, в котором указывалось, что шифровальщик BlackCat использовался в атаках как минимум на 60 разных организаций между ноябрём 2021 и мартом 2022 годов. Специалисты ФБР также выявили связь между BlackCat и DarkSide/Blackmatter: у них общие разработчики, вдобавок группировки пользуются услугами одних и тех же «прачечных» для отмывания денег.
Эксперты ФБР также обратились к системным администраторам и департаментам по информбезопасности, обнаруживающим у себя активность BlackCat, предоставлять агентам бюро все имеющиеся данные об атаке, чтобы проще было установить, какая именно группировка произвела нападение.
«Шифровальные группировки сотрудничают друг с другом всё теснее и, видимо, продуктивнее, - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. - Уже очевидно, что одни и те же группы могут использовать сразу несколько RaaS-сервисов одновременно и это дополнительно затрудняет противодействие им, как в плане отражения атак, так и в плане расследования инцидентов».
На днях также стало известно, что основная группировка BlackCat (она же - ALPHV) создала специальный сайт для работников и клиентов атакованных организаций, где указывается, украдены их данные или нет.
Поделиться
Короткая ссылка
