Jeder Ransomware-Angriff beginnt mit einem kompromittierten Endpunkt, und zu diesem Zweck haben Bedrohungsakteure jetzt damit begonnen, Microsoft Exchange-Server zu untersuchen. Laut einem vom Microsoft 365 Defender Threat Intelligence-Team veröffentlichten Bericht (Wird auf einer neuen Registerkarte geöffnet) wurde mindestens ein ungepatchter und anfälliger Server (Wird auf einer neuen Registerkarte geöffnet) von Betrügern angegriffen und missbraucht, um Zugriff auf das Zielnetzwerk zu erhalten.

Nachdem die Bedrohungsakteure Fuß gefasst hatten, versteckten sie sich, kartierten das Netzwerk, stahlen Zugangsdaten und exfiltrierten Daten, um sie später in einem doppelten Erpressungsangriff zu verwenden.

Nachdem diese Schritte erfolgreich abgeschlossen waren, setzte der Bedrohungsakteur die BlackCat-Ransomware über PsExec ein.

potenzielle Angreifer

„Während gängige Einstiegsvektoren für diese Bedrohungsakteure Remote-Desktop-Anwendungen und kompromittierte Anmeldeinformationen umfassen, haben wir auch gesehen, wie ein Bedrohungsakteur Schwachstellen im Exchange-Server ausnutzt, um Zugriff auf das Zielnetzwerk zu erhalten“, sagte das Team von Microsoft 365 Defender Threat Intelligence.

Während diese Dinge Fakten sind, gibt es noch ein paar mehr, die derzeit im Bereich der Spekulation liegen, nämlich die missbrauchten Schwachstellen und die beteiligten Bedrohungsakteure. BleepingComputer ist der Ansicht, dass die Schwachstelle im betreffenden Exchange-Server in der Sicherheitsempfehlung vom März 2021 behandelt wurde, die Maßnahmen zur Schadensbegrenzung für ProxyLogon-Angriffe vorschlägt.

Wenn es um potenzielle Bedrohungsakteure geht, stehen zwei Namen ganz oben auf der Liste: FIN12 und DEV-0504. Während erstere eine finanziell motivierte Gruppe ist, die für den Einsatz von Malware (wird in einem neuen Tab geöffnet) und Ransomware-Stämme in der Vergangenheit bekannt ist, ist letztere eine verbundene Gruppe, die Stealbit normalerweise einsetzt, um Daten zu stehlen.

„Wir stellen fest, dass diese Gruppe BlackCat ab März 2022 zu ihrer Liste der verteilten Nutzlasten hinzugefügt hat“, sagte Microsoft über FIN12. „Es wird vermutet, dass der Wechsel von seiner letzten verwendeten Nutzlast (Hive) zu BlackCat auf den öffentlichen Diskurs über dessen Entschlüsselungsmethoden zurückzuführen ist.“

Zum Schutz vor Ransomware empfiehlt Microsoft Unternehmen, ihre Endpunkte auf dem neuesten Stand zu halten und ihre Netzwerke (wird in einem neuen Tab geöffnet) auf verdächtigen Datenverkehr zu überwachen. Auch die Implementierung einer starken Cybersicherheitslösung (wird in einem neuen Tab geöffnet) ist immer eine gute Idee.

Über: BleepingComputer (Öffnet in einem neuen Tab)

Teilen Sie es