Chaque attaque de ransomware commence par un point de terminaison compromis, et à cette fin, les acteurs de la menace ont maintenant commencé à examiner les serveurs Microsoft Exchange. Selon un rapport (Ouvre dans un nouvel onglet) publié par l'équipe Microsoft 365 Defender Threat Intelligence, au moins un serveur non corrigé et vulnérable (Ouvre dans un nouvel onglet) a été ciblé par des fraudeurs et abusé pour accéder au réseau de destination.

Après avoir pris pied, les acteurs de la menace se sont cachés, ont cartographié le réseau, volé des informations d'identification et exfiltré des données pour les utiliser plus tard dans une attaque à double extorsion.

Une fois ces étapes franchies avec succès, l'auteur de la menace a déployé le rançongiciel BlackCat via PsExec.

attaquants potentiels

"Alors que les vecteurs d'entrée courants pour ces acteurs de la menace incluent les applications de bureau à distance et les informations d'identification compromises, nous avons également vu un acteur de la menace exploiter les vulnérabilités du serveur Exchange pour accéder au réseau cible", a déclaré l'équipe de Microsoft 365 Defender Threat Intelligence.

Bien que ces choses soient des faits, il y en a quelques autres, actuellement dans le domaine de la spéculation, à savoir les vulnérabilités abusées et les acteurs de la menace impliqués. BleepingComputer pense que la vulnérabilité du serveur Exchange en question a été couverte dans l'avis de sécurité de mars 2021, qui suggère des mesures d'atténuation pour les attaques ProxyLogon.

En ce qui concerne les acteurs potentiels de la menace, deux noms figurent en tête de liste : FIN12 et DEV-0504. Alors que le premier est un groupe à motivation financière connu pour déployer des logiciels malveillants (ouvre dans un nouvel onglet) et des souches de ransomwares dans le passé, le second est un groupe affilié qui déploie généralement Stealbit pour voler des données.

"Nous notons que ce groupe a ajouté BlackCat à sa liste de charges utiles distribuées à partir de mars 2022", a déclaré Microsoft à propos de FIN12. "Son passage à BlackCat à partir de sa dernière charge utile utilisée (Hive) est soupçonné d'être dû au discours public sur les méthodologies de décryptage de ce dernier."

Pour se défendre contre les ransomwares, Microsoft suggère aux entreprises de maintenir leurs points de terminaison à jour et de surveiller leurs réseaux (s'ouvre dans un nouvel onglet) pour détecter tout trafic suspect. La mise en œuvre d'une solution de cybersécurité solide (ouvre un nouvel onglet) est également toujours une bonne idée.

Via : BleepingComputer (Ouvre dans un nouvel onglet)

Share