BlackCat: attacco ransomware contro server Exchange

BlackCat: attacco ransomware contro server Exchange

Microsoft ha descritto due recenti attacchi effettuati contro server Exchange vulnerabili con il noto ransomware BlackCat (usato da diversi gruppi).
Microsoft ha descritto due recenti attacchi effettuati contro server Exchange vulnerabili con il noto ransomware BlackCat (usato da diversi gruppi).

Microsoft ha descritto alcuni recenti attacchi ransomware effettuati dal gruppo BlackCat contro server Exchange non aggiornati. Nonostante il rilascio della patch per le vulnerabilità ProxyLogon, avvenuto oltre un anno fa, ci sono ancora aziende che non hanno installato gli aggiornamenti. È inoltre fortemente consigliata l’installazione di una soluzione di sicurezza che rileva e blocca questo tipo di malware. Tra le migliori c’è Bitdefender GravityZone Business Security.

BlackCat colpisce ancora

BlackCat appartiene alla famiglia dei RaaS (Ransomware-as-a-Service), quindi viene offerto come servizio a diversi cybercriminali. Il malware è scritto in Rust e supporta più sistemi operativi (Windows, Linux e istanze VMware). Le sue funzionalità sono note: cifra i file, cancella le copie shadow, aggira il controllo dell’account utente, rileva informazioni sulla rete e si propaga ad altri computer collegati alla rete. Può inoltre modificare il boot loader.

Nell’articolo pubblicato da Microsoft vengono descritti due recenti attacchi. Nel primo caso sono state sfruttate le vulnerabilità del server Exchange. Dopo aver guadagnato l’accesso al server, i cybercriminali hanno raccolto varie informazioni, rubato le credenziali e raccolto numerosi dati aziendali riservati. Il ransomware è stato distribuito circa due settimane dopo usando il tool PsExec. Nel secondo caso, l’ingresso nella rete è avvenuto con Remote Desktop e credenziali rubate, ma il risultato finale è identico: cifratura dei file e richiesta di riscatto.

BlackCat non viene utilizzato solo dagli autori originali. Microsoft ha scoperto attacchi effettuati dalla gang che distribuisce anche Conti, Ruyk e Hive, e dal gruppo che distribuisce anche StealBit, LockBit 2.0, BlackMatter e Revil.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Fonte: Microsoft
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 14 giu 2022
Link copiato negli appunti