عصابة BlackCat Ransomware تستهدف خوادم Microsoft Exchange غير المصححة
تحذر Microsoft من أن طاقم BlackCat ransomware يستفيد من الثغرات الأمنية في خادم Exchange غير المصحح للوصول إلى الشبكات المستهدفة.
عند الحصول على نقطة دخول ، تحرك المهاجمون بسرعة لجمع المعلومات حول الأجهزة المخترقة ، متبوعًا بتنفيذ عمليات سرقة بيانات الاعتماد وأنشطة الحركة الجانبية ، قبل حصاد الملكية الفكرية وإسقاط حمولة برنامج الفدية.
قال فريق Microsoft 365 Defender Threat Intelligence Team في تقرير نُشر هذا الأسبوع إن التسلسل الكامل للأحداث استمر على مدار أسبوعين كاملين .
قال الباحثون: “في حادثة أخرى لاحظناها ، وجدنا أن شركة تابعة لبرامج الفدية قد اكتسبت وصولاً أوليًا إلى البيئة عبر خادم سطح المكتب البعيد المواجه للإنترنت باستخدام بيانات اعتماد مخترقة لتسجيل الدخول” ، مشيرين إلى أنه “لا يوجد شخصان من BlackCat” يعيشان “أو قد تبدو عمليات النشر كما هي “.
BlackCat ، المعروف أيضًا باسم ALPHV و Noberus ، هو مشارك جديد نسبيًا في مساحة برامج الفدية شديدة النشاط. من المعروف أيضًا أنها واحدة من أوائل برامج الفدية عبر الأنظمة الأساسية المكتوبة بلغة Rust ، مما يمثل اتجاهًا يتحول فيه المهاجمون إلى لغات برمجة غير شائعة في محاولة للتهرب من الاكتشاف.
يتوج نظام برامج الفدية كخدمة (RaaS) ، بغض النظر عن متجهات الوصول الأولية المتغيرة المستخدمة ، باستخراج وتشفير بيانات الهدف التي يتم الاحتفاظ بها بعد ذلك بالفدية كجزء مما يسمى بالابتزاز المزدوج.
لقد أثبت نموذج RaaS أنه نظام إيكولوجي مربح على غرار اقتصاد العمل المؤقت يتألف من ثلاثة لاعبين رئيسيين مختلفين: وسطاء الوصول (IABs) ، الذين يضرون الشبكات ويحافظون على المثابرة ؛ المشغلين ، الذين يطورون عمليات برامج الفدية ويحافظون عليها ؛ والشركات التابعة ، الذين يشترون الوصول من IABs لنشر الحمولة الفعلية.
وفقًا لتنبيه صادر عن مكتب التحقيقات الفيدرالي الأمريكي (FBI) ، فإن هجمات BlackCat ransomware قد أصابت 60 كيانًا على الأقل في جميع أنحاء العالم اعتبارًا من مارس 2022 منذ أن تم رصدها لأول مرة في نوفمبر 2021.
علاوة على ذلك ، قالت Microsoft إن “اثنتين من أكثر مجموعات التهديدات التابعة انتشارًا” ، والتي ارتبطت بالعديد من عائلات برامج الفدية مثل Hive و Conti و REvil و LockBit 2.0 ، تقومان الآن بتوزيع BlackCat.
يتضمن ذلك DEV-0237 (المعروف أيضًا باسم FIN12 ) ، وهو ممثل تهديد بدوافع مالية شوهد آخر مرة يستهدف قطاع الرعاية الصحية في أكتوبر 2021 ، و DEV-0504 ، الذي كان نشطًا منذ عام 2020 ولديه نمط تحويل الحمولات عند إغلاق برنامج RaaS أسفل.
أشارت مايكروسوفت الشهر الماضي إلى أن “DEV-0504 كان مسؤولاً عن نشر BlackCat ransomware في الشركات العاملة في قطاع الطاقة في يناير 2022” . “في نفس الوقت تقريبًا ، نشر DEV-0504 أيضًا BlackCat في هجمات ضد الشركات في مجالات الموضة والتبغ وتكنولوجيا المعلومات والصناعات التحويلية ، من بين أمور أخرى.”
إرسال التعليق