باجافزار BlackCat در حال بهرهبرداری از سرورهای آسیبپذیر Exchange است.
بهرهجویی BlackCat از آسیبپذیریهای Exchange
مرکز مدیریت راهبردی افتا , 5 تير 1401 ساعت 12:03
باجافزار BlackCat در حال بهرهبرداری از سرورهای آسیبپذیر Exchange است.
باجافزار BlackCat در حال بهرهبرداری از سرورهای آسیبپذیر Exchange است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گردانندگان باجافزار BlackCat با سوءاستفاده از آسیبپذیریهای اصلاح نشده، سرورهای Microsoft Exchange را هدف قرار میدهند.
کارشناسان امنیتی مایکروسافت حداقل در یکی از حملات اخیر مشاهده کردند که مهاجمان بانفوذ تدریجی در شبکه قربانی، اطلاعات اصالتسنجی و دادههای سیستمها را برای اخاذی مضاعف، استخراج و جمعآوری میکنند. دوهفته پس از سوءاستفاده از یک سرور Exchange ترمیم نشده بهعنوان نقطه ورودی و نفوذ اولیه، مهاجمان کدهای مخرب باجافزار BlackCat را از طریق PsExec در سراسر شبکه توزیع کردند.
تیم تحقیقاتی مایکروسافت اعلام کرده است درحالیکه روشهای ورودی رایج باجافزار BlackCat، برنامههای Remote Desktop و اطلاعات اصالتسنجی سرقت شده، هستند، در حملات اخیر مشاهده شده که مهاجمان از آسیبپذیریهای سرور Exchange برای دستیابی و نفوذ به شبکه موردنظر خود استفاده میکنند.
اگرچه مایکروسافت در گزارش خود به شناسه آسیبپذیری Exchange که جهت دسترسی اولیه مورد سوءاستفاده قرار گرفته، اشارهای نکرده است، اما این شرکت در اسفند ۱۴۰۰ اقدامات مهارسازی و توصیهنامهای امنیتی در خصوص حملات ProxyLogon که در آن نیز از ضعفهای امنیتی Exchange سوءاستفاده شده، منتشر نموده بود. همچنین با وجود اینکه مایکروسافت در این تحقیق از گروهی که باجافزار BlackCat را توزیع کرده، نامی نبرده است، این شرکت میگوید چندین گروه مهاجم سایبری اکنون در حملات خود از این باجافزار به صورت یک سرویس اجارهای (Ransomware-as-a-Service – به اختصار RaaS) استفاده میکنند.
یکی از این گروههای مهاجم سایبری با انگیزههای مالی، FIN۱۲ است که قبلاً نیز سابقه توزیع باجافزارهای Ryuk، Conti و Hive را در حملاتی که عمدتاً سازمانهای حوزه سلامت را هدف قرار میدادند، دارد. بااینحال، همانطور که شرکت امنیتی Mandiant در گزارش خود اعلام کرده است، گردانندگان FIN۱۲ بسیار سریعتر عمل میکنند، زیرا گاهی اوقات با صرف نظر نمودن از مرحله سرقت داده، در کمتر از دو روز برنامههای مخرب رمزگذاری خود را در شبکه مورد نظر قرار میدهند.
شرکت مایکروسافت در گزارش خود به نشانی زیر اعلام کرده که گروه سایبری FIN۱۲، از اسفند ۱۴۰۰، باجافزار BlackCat را به فهرست برنامههای مخرب خود جهت توزیع اضافه کرده است.
https://www.microsoft.com/security/blog/۲۰۲۲/۰۶/۱۳/the-many-lives-of-blackcat-ransomware/
گمان میرود تغییر رویه گروه FIN۱۲ و رویآوردن به باجافزار BlackCat بهجای باجافزار Hive، به دلیل افشای عمومی روشهای رمزگذاری باجافزار Hive باشد. باجافزار BlackCat همچنین توسط گروهی بهعنوان DEV-۰۵۰۴ به کار گرفته شده است. این گروه معمولاً دادههای سرقت شده را از طریق Stealbit - ابزار مخربی که گروه LockBit بهعنوان بخشی از سرویس RaaS خود در اختیار تبهکاران سایبری قرار میدهند - استخراج میکند.
همچنین از آذر ۱۴۰۰، DEV-۰۵۰۴ از سایر باجافزارها نظیر BlackMatter، Conti، LockBit ۲.۰، Revil و Ryuk استفاده کرده است.
بهمنظور پیشگیری از حملات باجافزار BlackCat، مایکروسافت به مدیران فناوری اطلاعات سازمانها توصیه میکند که ضمن بررسی ساختار هویتی خود، هرگونه دسترسی از بیرون به شبکههای خود را رصد نموده و همه سرورهای آسیبپذیر Exchange سازمان را دراسرعوقت بهروزرسانی کنند.
در فروردین ۱۴۰۱، «پلیس فدرال امریکا» (Federal Bureau of Investigation – بهاختصار FBI) طی اطلاعیهای به نشانی زیر، در خصوص باجافزار BlackCat که در بازه زمانی آبان ۱۴۰۰ تا اسفند ۱۴۰۰، برای رمزگذاری شبکههای حداقل ۶۰ سازمان در سراسر جهان مورداستفاده قرار گرفته، هشدار داد.
https://www.ic۳.gov/Media/News/۲۰۲۲/۲۲۰۴۲۰.pdf
FBI در آن زمان اعلام کرد که بسیاری از برنامهنویسان باجافزار BlackCat/ALPHV و افرادی که باجهای دریافتی آن را پولشویی میکنند، با گردانندگان باجافزار Darkside/Blackmatter در ارتباط هستند که این امر نشاندهنده ارتباط گسترده مهاجمان BlackCat و تجربه و تبحر آنها در حملات باجافزاری است. بااینحال، بهاحتمال زیاد، تعداد واقعی قربانیان BlackCat بسیار بیشتر از ۴۸۰ موردی است که بین آبان ۱۴۰۰ و خرداد ۱۴۰۱ به سایت ID-Ransomware ارسال شده است.
گزارش کامل مایکروسافت در خصوص اقدامات کاهشی در سرورهای Exchange در نشانی زیر قابلمطالعه است:
https://msrc-blog.microsoft.com/۲۰۲۱/۰۳/۱۶/guidance-for-responders-investigating-and-remediating-on-premises-exchange-server-vulnerabilities/
کد مطلب: 19156