Comunicado emitido alerta que a Exchange hackeado para implantação do BlackCat usando vulnerabilidades não corrigidas no servidor de e-mails corporativos. Em ao menos um incidente observado pelos especialistas em segurança da fabricante de software. Os invasores se movem lentamente pela rede da vítima, roubando credenciais e infiltrando informações para utilizar para extorsão dupla.
Duas semanas após o comprometimento inicial usando um servidor Exchange hackeado como vetor de entrada. Os operadores da ameaça fazem uma implantação de cargas do ransomware BlackCat em toda a rede via PsExec. Protocolo de rede na internet ou em redes locais que substitui o Telnet e permite executar processos em outros sistemas.
Embora não tenha mencionado a vulnerabilidade do Exchange usada para acesso inicial. A empresa vincula a um comunicado de segurança de março de 2021 com orientações sobre como investigar e mitigar ataques ProxyLogon. Além disso, embora a empresa não tenha nomeado o afiliado de ransomware que implantou o ransomware BlackCat. Neste estudo de caso, a empresa diz que vários grupos de crimes cibernéticos agora são afiliados dessa operação de ransomware como Serviço (RaaS) e o estão usando ativamente em ataques. Um desses grupos de crime cibernético é o FIN12, conhecido por implantar os ransomwares Ryuk, Conti e Hive em ataques direcionados principalmente a organizações de saúde. No entanto, os operadores do FIN12 são muito mais rápidos. Pois às vezes pulam a etapa de roubo de dados e levam menos de dois dias para descartar suas cargas úteis de criptografia de arquivos na rede de um alvo.