微软：Exchange服务器被黑以部署BlackCat勒索软件

微软表示，BlackCat 勒索软件附属机构现在正在使用针对未修补漏洞的漏洞攻击 Microsoft Exchange 服务器。

在微软安全专家观察到的至少一个事件中，攻击者缓慢地穿过受害者的网络，窃取凭据并泄露信息用于双重勒索。

在使用未修补的 Exchange 服务器作为入口向量的初始攻击两周后，威胁参与者通过 PsExec 在网络上部署了 BlackCat 勒索软件有效负载。

Microsoft 365 Defender 威胁情报团队表示：“虽然这些威胁参与者的常见入口向量包括远程桌面应用程序和受损凭据，但我们还看到威胁参与者利用 Exchange 服务器漏洞获取目标网络访问权限。”

尽管没有提及用于初始访问的 Exchange 漏洞，但 Microsoft 链接到 2021 年 3 月的安全公告，其中包含有关调查和缓解ProxyLogon 攻击的指导。

此外，虽然微软没有在本案例研究中指定部署 BlackCat 勒索软件的勒索软件附属机构，但该公司表示，一些网络犯罪集团现在是该勒索软件即服务 (RaaS) 操作的附属机构，并正在积极使用它进行攻击。

网络犯罪分子涌向 BlackCat 勒索软件

其中一个是一个被追踪为 FIN12 的出于经济动机的网络犯罪组织，该组织以之前在主要针对医疗保健组织的攻击中部署 Ryuk、Conti 和 Hive 勒索软件而闻名。

然而，正如 Mandiant 透露的那样，FIN12 运营商的速度要快得多，因为他们有时会跳过数据窃取步骤，并且只需不到两天的时间就可以将文件加密有效负载投放到目标网络中。

“我们观察到，该组织从 2022 年 3 月开始将 BlackCat 添加到他们的分布式有效负载列表中，”微软补充道。

“他们从上次使用的有效载荷（Hive）转向 BlackCat 被怀疑是由于公众围绕后者的解密方法进行的讨论。”

BlackCat 勒索软件也被跟踪为 DEV-0504 的附属组织部署，该组织通常使用 Stealbit 泄露被盗数据，这是 LockBit 团伙为其附属机构提供的一种恶意工具，作为其 RaaS 计划的一部分。

从 2021 年 12 月开始，DEV-0504 还使用了其他勒索软件毒株，包括 BlackMatter、Conti、LockBit 2.0、Revil 和 Ryuk。

为了防御 BlackCat 勒索软件攻击，微软建议组织审查其身份状况，监控对其网络的外部访问，并尽快更新其环境中所有易受攻击的 Exchange 服务器。

用于数百次勒索软件攻击 

4 月，FBI 在紧急警报中警告称，BlackCat 勒索软件已被用于在 2021 年 11 月至 2022 年 3 月期间对全球至少 60 个组织的网络进行加密。

“BlackCat/ALPHV 的许多开发人员和洗钱者都与 Darkside/Blackmatter 有关联，这表明他们拥有广泛的网络和勒索软件操作经验，”联邦调查局当时表示。

但是，鉴于 2021 年 11 月至 2022 年 6 月期间在 ID-Ransomware 平台上提交了 480 多个样本，BlackCat 受害者的实际数量很可能要高得多。

在 4 月份的警报中，FBI 还要求在其网络中检测到 BlackCat 活动的管理员和安全团队与当地的 FBI Cyber Squad 共享任何相关的事件信息。

有助于追踪和识别在攻击中使用此勒索软件的威胁参与者的有用信息包括“IP 日志显示来自外国 IP 地址、比特币或门罗币地址和交易 ID 的回调、与威胁参与者的通信、解密器文件和/或加密文件的良性样本。”