El ransomware BlackCat está apuntando a servidores Microsoft Exchange sin parches

Microsoft advierte que el equipo de ransomware BlackCat está aprovechando las vulnerabilidades de los servidores de Exchange sin parches, con el fin de obtener acceso a redes específicas.

Al obtener un punto de entrada, los atacantes se movieron rápidamente para recopilar información sobre las máquinas comprometidas, luego llevaron a cabo actividades de robo de credenciales y movimiento lateral, antes de recolectar propiedad intelectual y soltar la carga útil del ransomware.

La secuencia completa de eventos se desarrolló en el transcurso de dos semanas completas, dijo el equipo de inteligencia de amenazas de Microosft 365 Defender en un informe publicado esta semana.

«En otro incidente que observamos, descubrimos que un afiliado de ransomware obtuvo acceso inicial al entorno por medio de un servidor de escritorio remoto orientado a Internet usando credenciales comprometidas para iniciar sesión. No hay dos BlackCat ‘vivos’ o las implementaciones pueden tener el mismo aspecto», dijeron los investigadores.

BlackCat, también conocido como ALPHV y Norberus, es un participante relativamente nuevo en el espacio del ransomware hiperactivo. También se sabe que es uno de los primeros ransomware multiplataforma escrito en Rust, lo que ejemplifica una tendencia en la que los actores de amenazas están cambiando a lenguajes de programación poco comunes en un intento de evadir la detección.

El esquema de ransomware como servicio (PaaS), independientemente de los distintos vectores de acceso inicial empleados, culmina en la exfiltración y el cifrado de los datos de destino que luego se retienen como parte de lo que se denomina doble extorsión.

El modelo RaaS ha demostrado ser un lucrativo ecosistema cibercriminal al estilo de la economía de conciertos, que consta de tres jugadores clave diferentes: corredores de acceso (IAB), que comprometen las redes y mantienen la persistencia; operadores, que desarrollan y mantienen las operaciones de ransomware; y afiliados, que compran el acceso a lo sIAB para implementar la carga útil real.

Según una alerta publicada por la Oficina Federal de Investigaciones (FBI) de Estados Unidos, los ataques del ransomware BlackCat han afectado al menos a 60 entidades en todo el mundo hasta marzo de 2022 desde que se detectó por primera vez en noviembre de 2021.

Además, Microsoft dijo que «dos de los grupos de amenazas afiliados más prolíficos», que se han asociado con varias familias de ransomware como Hive, Conti, REvil y LockBit 2.0, ahora están distribuyendo BlackCat.

Esto incluye DEV-0237 (también conocido como FIN12), un actor de amenazas con motivación financiera que se vio por última vez apuntando al sector de la salud en octubre de 2021, y DEV-0504, que ha estado activo desde 2020 y tiene un patrón de cambio de cargas útiles cuando se cierra un programa RaaS.

«DEV-0504 fue responsable de implementar el ransomware BlackCat en empresas del sector energético en enero de 2022. Casi al mismo tiempo, DEV-0504 también implementó BlackCat en ataques contra empresas de las industrias de moda, tabaco, TI y manufactura, entre otras», dijo Microsoft el mes pasado.

Grupo de WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Grupo de Telegram: https://t.me/Masterhacks_net

Donaciones
Gracias por apoyar el libre conocimiento! Puedes donar la cantidad que tú desees.
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: DQQyKHdtvFiB4zW87Kvp9Wna3bcyL3ukQz
BCH: qqnkqcu8sa90zuuzd2nvdrslgdv3u5ta6cy4ch0rnq
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Transferencia bancaria México: CLABE: 646180192143715428 a nombre de Masterhacks LATAM, Banco: STP

Deja una respuesta

Tu dirección de correo electrónico no será publicada.