Comunicado emitido alertando que operadores do ransomware BlackCat agora estão atacando servidores Exchange usando vulnerabilidades não corrigidas no servidor de e-mails corporativos. Em ao menos um incidente observado pelos especialistas em segurança da fabricante de software, os invasores se moveram lentamente pela rede da vítima, roubando credenciais e infiltrando informações para serem usadas para extorsão dupla.
Duas semanas após o comprometimento inicial usando um servidor Exchange não corrigido como vetor de entrada, os operadores da ameaça implantaram cargas do ransomware BlackCat em toda a rede via PsExec, protocolo de rede na internet ou em redes locais que substitui o Telnet e permite executar processos em outros sistemas.
Embora não tenha mencionado a vulnerabilidade do Exchange usada para acesso inicial, a empresa vincula a um comunicado de segurança de março de 2021 com orientações sobre como investigar e mitigar ataques ProxyLogon. Além disso, embora a empresa não tenha nomeado o afiliado de ransomware que implantou o ransomware BlackCat neste estudo de caso, a empresa diz que vários grupos de crimes cibernéticos agora são afiliados dessa operação de ransomware como Serviço (RaaS) e o estão usando ativamente em ataques. Um desses grupos de crime cibernético é o FIN12, conhecido por implantar os ransomwares Ryuk, Conti e Hive em ataques direcionados principalmente a organizações de saúde. No entanto, os operadores do FIN12 são muito mais rápidos, pois às vezes pulam a etapa de roubo de dados e levam menos de dois dias para descartar suas cargas úteis de criptografia de arquivos na rede de um alvo.
