Microsoft, Blackcat Fidye yazılımı iştiraklerinin artık, takılmamış güvenlik açıklarını hedefleyen istismarları kullanarak Microsoft Exchange sunucularına saldırdığını söylüyor.
Microsoft'un güvenlik uzmanlarının gözlemlediği en az bir olayda, saldırganlar yavaş yavaş kurbanın ağından geçerek, çift gasp için kullanılacak bilgileri çaldı ve bilgi verdiler.
Giriş vektörü olarak Patched Unched Exchange Server kullanarak ilk uzlaşmadan iki hafta sonra, tehdit oyuncusu Psexec üzerinden ağ üzerinden Blackcat fidye yazılımı yüklerini dağıttı.
Microsoft 365 Defender Tehdit İstihbarat ekibi, "Bu tehdit aktörleri için ortak giriş vektörleri uzak masaüstü uygulamaları ve tehlikeye atılmış kimlik bilgileri içerse de, bir tehdit aktörünün hedef ağ erişimi elde etmek için değişim sunucusu güvenlik açıklarından da gördük." Dedi.
İlk erişim için kullanılan değişim güvenlik açığından bahsetmese de, Microsoft, proxylogon saldırılarını araştırma ve azaltma konusunda rehberlik ederek Mart 2021'den itibaren bir güvenlik danışmanlığına bağlanır.
Ayrıca, Microsoft bu vaka çalışmasında Blackcat fidye yazılımı konuşlandıran fidye yazılımı bağlı kuruluşunu adlandırmasa da, şirket birkaç siber suç grubunun şimdi bu fidye yazılımlarının bir hizmet (RAAS) operasyonu olarak bağlı olduğunu ve aktif olarak saldırılarda kullandığını söylüyor.
Fin12 olarak izlenen finansal olarak motive olmuş bir siber suç grubu olan bunlardan biri, daha önce Ryuk, Conti ve Hive fidye yazılımlarını esas olarak sağlık kuruluşlarını hedefleyen saldırılara dağıtmasıyla bilinir.
Bununla birlikte, Mantiant'ın açıkladığı gibi, FIN12 operatörleri bazen veri hırsızlığı adımını atladıkları ve dosya şifreleme yüklerini bir hedefin ağına bırakmak için iki günden az sürdüğü için çok daha hızlıdır.
Microsoft, "Bu grubun Mart 2022'den itibaren dağıtılmış yükler listesine Blackcat eklediğini gözlemledik."
Diyerek şöyle devam etti: "En son kullanılan yüklerinden (kovan) blackcat'e geçişlerinin, ikincisinin şifre çözme metodolojilerinin etrafındaki kamu söyleminden kaynaklandığından şüpheleniliyor."
Blackcat fidye yazılımı, Lockbit Gang'ın bağlı kuruluşlarını RAAS programının bir parçası olarak sağladığı kötü amaçlı bir araç olan Stealbit'i kullanarak çalınan verileri tipik olarak saptıran Dev-0504 olarak izlenen bir bağlı kuruluş tarafından dağıtılmaktadır.
Dev-0504, Aralık 2021'den başlayarak Blackmatt, Conti, Lockbit 2.0, Revil ve Ryuk dahil olmak üzere diğer fidye yazılımı suşlarını da kullandı.
Blackcat fidye yazılımı saldırılarına karşı savunmak için Microsoft, kuruluşlara kimlik duruşlarını gözden geçirmelerini, ağlarına harici erişimi izlemelerini ve ortamlarındaki tüm savunmasız değişim sunucularını mümkün olan en kısa sürede güncellemelerini tavsiye eder.
Nisan ayında FBI, Blackcat fidye yazılımlarının Kasım 2021 ile Mart 2022 arasında dünya çapında en az 60 kuruluşun ağlarını şifrelemek için kullanıldığı konusunda bir uyarıda uyardı.
FBI, "Blackcat/ALPHV için geliştiricilerin ve para aklayanların birçoğu Darkside/Blackmatter ile bağlantılıdır, bu da fidye yazılımı operasyonlarıyla ilgili geniş ağlara ve deneyimlerine sahip olduklarını gösterir." Dedi.
Bununla birlikte, Blackcat kurbanlarının gerçek sayısı, Kasım 2021 ve Haziran 2022 tarihleri arasında ID-Ransomware platformunda 480'den fazla örnek verilmesi göz önüne alındığında büyük olasılıkla çok daha yüksektir.
FBI, Nisan uyarısında, ağlarındaki Blackcat etkinliğini tespit eden yöneticilerden ve güvenlik ekiplerinden, ilgili olay bilgilerini yerel FBI siber ekibiyle paylaşmalarını istedi.
Bu fidye yazılımlarını saldırılarında kullanan tehdit aktörlerini izlemeye ve tanımlamaya yardımcı olacak yararlı bilgiler, "yabancı IP adreslerinden geri arama gösteren IP günlüklerini, Bitcoin veya Monero adreslerini ve işlem kimliklerini, tehdit aktörleriyle iletişim, şifreleme dosyası ve/veya/veya şifreli bir dosyanın iyi huylu bir örneği. "
Ransomware Gang, çalışanların çalınan verilerini araması için site oluşturur
Blackcat/Alphv Ransomware, Avusturya Eyaletinin kilidini açmak için 5 milyon dolar istiyor
Yeni Ransomhouse Group gasp piyasasını kuruyor, ilk kurbanları ekliyor
Ransomware'de Hafta - 18 Mart 2022 - Otomobil endüstrisini hedeflemek
FBI: Blackcat Ransomware dünya çapında en az 60 varlığı ihlal etti
Kaynak: Bleeping Computer