بهره‌جویی BlackCat از آسیب‌پذیری‌های Exchange

باج‌افزار BlackCat در حال بهره‌برداری از سرورهای آسیب‌پذیر Exchange است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، گردانندگان باج‌افزار BlackCat با سوءاستفاده‌ از آسیب‌پذیری‌های اصلاح نشده، سرورهای Microsoft Exchange را هدف قرار می‌دهند.

کارشناسان امنیتی مایکروسافت حداقل در یکی از حملات اخیر مشاهده کردند که مهاجمان بانفوذ تدریجی در شبکه قربانی، اطلاعات اصالت‌سنجی و داده‌های سیستم‌ها را برای اخاذی مضاعف، استخراج و جمع‌آوری می‌کنند. دوهفته پس از سوءاستفاده از یک سرور Exchange ترمیم نشده به‌عنوان نقطه ورودی و نفوذ اولیه، مهاجمان کدهای مخرب باج‌افزار BlackCat را از طریق PsExec در سراسر شبکه توزیع کردند.

تیم تحقیقاتی مایکروسافت اعلام کرده است درحالی‌که روش‌های ورودی رایج باج‌افزار BlackCat، برنامه‌های Remote Desktop و اطلاعات اصالت‌سنجی سرقت شده، هستند، در حملات اخیر مشاهده شده که مهاجمان از آسیب‌پذیری‌های سرور Exchange برای دستیابی و نفوذ به شبکه موردنظر خود استفاده می‌کنند.

اگرچه مایکروسافت در گزارش خود به شناسه آسیب‌پذیری Exchange که جهت دسترسی اولیه مورد سوءاستفاده قرار گرفته، اشاره‌ای نکرده است، اما این شرکت در اسفند ۱۴۰۰ اقدامات مهارسازی و توصیه‌نامه‌ای امنیتی در خصوص حملات ProxyLogon که در آن نیز از ضعف‌های امنیتی Exchange سوءاستفاده شده، منتشر نموده بود. همچنین با وجود اینکه مایکروسافت در این تحقیق از گروهی که باج‌افزار BlackCat را توزیع کرده، نامی نبرده است، این شرکت می‌گوید چندین گروه مهاجم سایبری اکنون در حملات خود از این باج‌افزار به‌ صورت یک سرویس اجاره‌ای (Ransomware-as-a-Service – به اختصار RaaS) استفاده می‌کنند.

یکی از این گروه‌های مهاجم سایبری با انگیزه‌های مالی، FIN۱۲ است که قبلاً نیز سابقه توزیع باج‌افزارهای Ryuk، Conti و Hive را در حملاتی که عمدتاً سازمان‌های حوزه سلامت را هدف قرار می‌دادند، دارد. بااین‌حال، همان‌طور که شرکت امنیتی Mandiant در گزارش خود اعلام کرده است، گردانندگان FIN۱۲ بسیار سریع‌تر عمل می‌کنند، زیرا گاهی اوقات با صرف نظر نمودن از مرحله سرقت داده، در کمتر از دو روز برنامه‌های مخرب رمزگذاری خود را در شبکه مورد نظر قرار می‌دهند.
شرکت مایکروسافت در گزارش خود به نشانی زیر اعلام کرده که گروه سایبری FIN۱۲، از اسفند ۱۴۰۰، باج‌افزار BlackCat را به فهرست برنامه‌های مخرب خود جهت توزیع اضافه کرده است.
https://www.microsoft.com/security/blog/۲۰۲۲/۰۶/۱۳/the-many-lives-of-blackcat-ransomware/

گمان می‌رود تغییر رویه گروه FIN۱۲ و روی‌آوردن به باج‌افزار BlackCat به‌جای باج‌افزار Hive، به دلیل افشای عمومی روش‌های رمزگذاری باج‌افزار Hive باشد. باج‌افزار BlackCat همچنین توسط گروهی به‌عنوان DEV-۰۵۰۴ به کار گرفته شده است. این گروه معمولاً داده‌های سرقت شده را از طریق Stealbit - ابزار مخربی که گروه LockBit به‌عنوان بخشی از سرویس RaaS خود در اختیار تبهکاران سایبری قرار می‌دهند - استخراج می‌کند.

همچنین از آذر ۱۴۰۰، DEV-۰۵۰۴ از سایر باج‌افزارها نظیر BlackMatter، Conti، LockBit ۲.۰، Revil و Ryuk استفاده کرده است.
به‌منظور پیشگیری از حملات باج‌افزار BlackCat، مایکروسافت به مدیران فناوری اطلاعات سازمان‌ها توصیه می‌کند که ضمن بررسی ساختار هویتی خود، هرگونه دسترسی از بیرون به شبکه‌های خود را رصد نموده و همه سرورهای آسیب‌پذیر Exchange سازمان را دراسرع‌وقت به‌روزرسانی کنند.

در فروردین ۱۴۰۱، «پلیس فدرال امریکا» (Federal Bureau of Investigation – به‌اختصار FBI) طی اطلاعیه‌ای به نشانی زیر، در خصوص باج‌افزار BlackCat که در بازه زمانی آبان ۱۴۰۰ تا اسفند ۱۴۰۰، برای رمزگذاری شبکه‌های حداقل ۶۰ سازمان در سراسر جهان مورداستفاده قرار گرفته، هشدار داد.
https://www.ic۳.gov/Media/News/۲۰۲۲/۲۲۰۴۲۰.pdf

FBI در آن زمان اعلام کرد که بسیاری از برنامه‌نویسان باج‌افزار BlackCat/ALPHV و افرادی که باج‌های دریافتی آن را پول‌شویی می‌کنند، با گردانندگان باج‌افزار Darkside/Blackmatter در ارتباط هستند که این امر نشان‌دهنده ارتباط گسترده مهاجمان BlackCat و تجربه و تبحر آنها در حملات باج‌افزاری است. بااین‌حال، به‌احتمال زیاد، تعداد واقعی قربانیان BlackCat بسیار بیشتر از ۴۸۰ موردی است که بین آبان ۱۴۰۰ و خرداد ۱۴۰۱ به سایت ID-Ransomware ارسال شده است.

گزارش کامل مایکروسافت در خصوص اقدامات کاهشی در سرورهای Exchange در نشانی زیر قابل‌مطالعه است:
https://msrc-blog.microsoft.com/۲۰۲۱/۰۳/۱۶/guidance-for-responders-investigating-and-remediating-on-premises-exchange-server-vulnerabilities/