Quelle: microsoft.com (Englisch)
Laut Microsoft greifen BlackCat-Ransomware-Ableger jetzt Microsoft Exchange-Server an, indem sie Sicherheitslücken ausnutzen, die nicht gepatcht wurden.
In mindestens einem Fall, den die Sicherheitsexperten von Microsoft beobachteten, drangen die Angreifer langsam in das Netzwerk des Opfers ein, stahlen Anmeldeinformationen und schleusten Informationen ein, die für eine doppelte Erpressung verwendet werden sollten.
Zwei Wochen nach der ersten Kompromittierung, bei der ein ungepatchter Exchange-Server als Einstiegsvektor genutzt wurde, verteilte der Angreifer die BlackCat-Ransomware-Nutzdaten über PsExec im gesamten Netzwerk.
"Während die üblichen Zugangsvektoren für diese Bedrohungsakteure Remote-Desktop-Anwendungen und kompromittierte Anmeldeinformationen sind, haben wir auch einen Bedrohungsakteur gesehen, der Schwachstellen in Exchange-Servern ausnutzte, um Zugang zum Zielnetzwerk zu erhalten"
So das Microsoft 365 Defender Threat Intelligence Team.
Obwohl die Exchange-Schwachstelle, die für den ursprünglichen Zugriff genutzt wurde, nicht erwähnt wurde, verweist Microsoft auf einen Sicherheitshinweis vom März 2021 mit Hinweisen zur Untersuchung und Eindämmung von ProxyLogon-Angriffen.
Auch wenn Microsoft den Namen des Ransomware-Partners, der die BlackCat-Ransomware in dieser Fallstudie eingesetzt hat, nicht genannt hat, sagt das Unternehmen, dass mehrere Cybercrime-Gruppen jetzt Partner dieser Ransomware-as-a-Service (RaaS)-Operation sind und sie aktiv für Angriffe nutzen.