Cada ataque de ransomware comienza con un punto final comprometido y, con ese fin, los actores de amenazas ahora han comenzado a examinar los servidores de Microsoft Exchange. Según un informe (se abre en una pestaña nueva) publicado por el equipo de inteligencia sobre amenazas de Microsoft 365 Defender, al menos un servidor sin parches y vulnerable (se abre en una pestaña nueva) ha sido atacado por estafadores y abusado para obtener acceso a la red de destino.

Después de afianzarse, los actores de amenazas se escondieron, mapearon la red, robaron credenciales y extrajeron datos para usarlos más tarde en un ataque de doble extorsión.

Una vez que estos pasos se completaron con éxito, el actor de amenazas implementó el ransomware BlackCat a través de PsExec.

Atacantes potenciales

“Si bien los vectores de entrada comunes para estos actores de amenazas incluyen aplicaciones de escritorio remoto y credenciales comprometidas, también hemos visto a un actor de amenazas explotar vulnerabilidades en el servidor de Exchange para obtener acceso a la red de destino”, dijo el equipo de Microsoft 365 Defender Threat Intelligence.

Si bien estas cosas son hechos, hay algunas más, actualmente en el ámbito de la especulación, a saber, las vulnerabilidades abusadas y los actores de amenazas involucrados. BleepingComputer cree que la vulnerabilidad en el servidor de Exchange en cuestión se cubrió en el aviso de seguridad de marzo de 2021, que sugiere mitigaciones para los ataques de ProxyLogon.

Cuando se trata de posibles actores de amenazas, dos nombres encabezan la lista: FIN12 y DEV-0504. Mientras que el primero es un grupo motivado financieramente, conocido por implementar malware (se abre en una nueva pestaña) y cepas de ransomware en el pasado, el segundo es un grupo afiliado que generalmente implementa Stealbit para robar datos.

“Observamos que este grupo agregó BlackCat a su lista de cargas útiles distribuidas a partir de marzo de 2022”, dijo Microsoft sobre FIN12. «Se sospecha que su paso a BlackCat desde su última carga útil utilizada (Hive) se debe al discurso público sobre las metodologías de descifrado de este último».

Para defenderse contra el ransomware, Microsoft sugiere que las empresas mantengan sus terminales actualizados y monitoreen sus redes (se abre en una nueva pestaña) en busca de tráfico sospechoso. Implementar una solución sólida de ciberseguridad (se abre en una nueva pestaña) también es siempre una buena idea.

Vía: BleepingComputer (se abre en una nueva pestaña)

Share This