microsoft-exchange-email-server-servidor.jpg

Servidores Exchange hackeados para implantar o BlackCat

Hackers agora estão usando vulnerabilidades não corrigidas no software servidor e-mails corporativos para implantar o ransomware
Da Redação
14/06/2022

A Microsoft emitiu comunicado alertando que operadores do ransomware BlackCat agora estão atacando servidores Exchange usando vulnerabilidades não corrigidas no software servidor e-mails corporativos. Em ao menos um incidente observado pelos especialistas em segurança da fabricante de software, os invasores se moveram lentamente pela rede da vítima, roubando credenciais e exfiltrando informações para serem usadas para extorsão dupla.

Duas semanas após o comprometimento inicial usando um servidor Exchange não corrigido como vetor de entrada, os operadores da ameaça implantaram cargas do ransomware BlackCat em toda a rede via PsExec, protocolo de rede na internet ou em redes locais que substitui o Telnet e permite executar processos em outros sistemas.

“Embora os vetores de entrada comuns para esses operadores da ameaça incluam aplicativos de desktop remoto e credenciais comprometidas, também vimos um hacker aproveitar as vulnerabilidades do servidor Exchange para obter acesso à rede de destino”, disse a equipe de inteligência em ameaças do Microsoft 365 Defender.

Veja isso
Hackers usam módulo IIS para roubar credenciais do Exchange
Autodiscover do Exchange pode vazar credenciais

Embora não tenha mencionado a vulnerabilidade do Exchange usada para acesso inicial, a Microsoft vincula a um comunicado de segurança de março de 2021 com orientações sobre como investigar e mitigar ataques ProxyLogon. Além disso, embora a empresa não tenha nomeado o afiliado de ransomware que implantou o ransomware BlackCat neste estudo de caso, a empresa diz que vários grupos de crimes cibernéticos agora são afiliados dessa operação de ransomware como Serviço (RaaS) e o estão usando ativamente em ataques.

Um desses grupos de crime cibernético é o FIN12, conhecido por implantar os ransomwares Ryuk, Conti e Hive em ataques direcionados principalmente a organizações de saúde. No entanto, como a Mandiant revelou, os operadores do FIN12 são muito mais rápidos, pois às vezes pulam a etapa de roubo de dados e levam menos de dois dias para descartar suas cargas úteis de criptografia de arquivos na rede de um alvo. “Observamos que esse grupo adicionou o BlackCat à sua lista de cargas distribuídas a partir de março de 2022”, acrescentou a Microsoft.

Compartilhar:

Últimas Notícias