Jeder Ransomware-Angriff beginnt mit einem kompromittierten Endpunkt, und zu diesem Zweck haben Bedrohungsakteure nun damit begonnen, Microsoft Exchange-Server zu untersuchen. Laut einem vom Microsoft 365 Defender Threat Intelligence-Team veröffentlichten Bericht (öffnet sich in einem neuen Tab) wurde mindestens ein ungepatchter und anfälliger Server (öffnet sich in einem neuen Tab) von Betrügern angegriffen und missbraucht, um Zugriff auf das Zielnetzwerk zu erhalten.
Nachdem sie Fuß gefasst hatten, tauchten die Bedrohungsakteure unter, kartierten das Netzwerk, stahlen Zugangsdaten und extrahierten Daten für die spätere Verwendung in einem doppelten Erpressungsangriff.
Nachdem diese Schritte erfolgreich abgeschlossen waren, verteilte der Bedrohungsakteur die BlackCat-Ransomware über PsExec.
potenzielle Angreifer
„Während häufige Eintrittsvektoren für diese Bedrohungsakteure Remote-Desktop-Anwendungen und kompromittierte Anmeldeinformationen umfassen, haben wir auch gesehen, dass ein Bedrohungsakteur Schwachstellen im Exchange-Server ausnutzt, um Zugriff auf das Zielnetzwerk zu erhalten“, sagte das Team von Microsoft 365 Defender Threat Intelligence.
Während es sich hierbei um Fakten handelt, gibt es noch einige weitere, die derzeit im Bereich der Spekulation liegen, nämlich die ausgenutzten Schwachstellen und die beteiligten Bedrohungsakteure. BleepingComputer geht davon aus, dass die Schwachstelle im betreffenden Exchange-Server im Sicherheitshinweis vom März 2021 behandelt wurde, der Abhilfemaßnahmen für ProxyLogon-Angriffe vorschlägt.
Wenn es um potenzielle Bedrohungsakteure geht, stehen zwei Namen ganz oben auf der Liste: FIN12 und DEV-0504. Während es sich bei Ersterem um eine finanziell motivierte Gruppe handelt, die in der Vergangenheit für den Einsatz von Malware (öffnet sich in einem neuen Tab) und Ransomware-Stämmen bekannt ist, handelt es sich bei Letzterer um eine verbundene Gruppe, die typischerweise Stealbit einsetzt, um Daten zu stehlen.
„Wir stellen fest, dass diese Gruppe BlackCat ab März 2022 zu ihrer Liste verteilter Nutzlasten hinzugefügt hat“, sagte Microsoft zu FIN12. „Der Wechsel von der zuletzt genutzten Nutzlast (Hive) zu BlackCat ist vermutlich auf den öffentlichen Diskurs über die Entschlüsselungsmethoden des letzteren zurückzuführen.“
Zum Schutz vor Ransomware empfiehlt Microsoft Unternehmen, ihre Endpunkte auf dem neuesten Stand zu halten und ihre Netzwerke (öffnet sich in einem neuen Tab) auf verdächtigen Datenverkehr zu überwachen. Auch die Implementierung einer robusten Cybersicherheitslösung – öffnet sich in einem neuen Tab – ist immer eine gute Idee.
Über: BleepingComputer (Öffnet in einem neuen Tab)