微軟：Exchange服務器被黑以部署BlackCat勒索軟件

微軟表示，BlackCat 勒索軟件附屬機構現在正在使用針對未修補漏洞的漏洞攻擊 Microsoft Exchange 服務器。

在微軟安全專家觀察到的至少一個事件中，攻擊者緩慢地穿過受害者的網絡，竊取憑據并泄露信息用于雙重勒索。

在使用未修補的 Exchange 服務器作為入口向量的初始攻擊兩周后，威脅參與者通過 PsExec 在網絡上部署了 BlackCat 勒索軟件有效負載。

Microsoft 365 Defender 威脅情報團隊表示：“雖然這些威脅參與者的常見入口向量包括遠程桌面應用程序和受損憑據，但我們還看到威脅參與者利用 Exchange 服務器漏洞獲取目標網絡訪問權限。”

盡管沒有提及用于初始訪問的 Exchange 漏洞，但 Microsoft 鏈接到 2021 年 3 月的安全公告，其中包含有關調查和緩解ProxyLogon 攻擊的指導。

此外，雖然微軟沒有在本案例研究中指定部署 BlackCat 勒索軟件的勒索軟件附屬機構，但該公司表示，一些網絡犯罪集團現在是該勒索軟件即服務 (RaaS) 操作的附屬機構，并正在積極使用它進行攻擊。

網絡犯罪分子涌向 BlackCat 勒索軟件

其中一個是一個被追蹤為 FIN12 的出于經濟動機的網絡犯罪組織，該組織以之前在主要針對醫療保健組織的攻擊中部署 Ryuk、Conti 和 Hive 勒索軟件而聞名。

然而，正如 Mandiant 透露的那樣，FIN12 運營商的速度要快得多，因為他們有時會跳過數據竊取步驟，并且只需不到兩天的時間就可以將文件加密有效負載投放到目標網絡中。

“我們觀察到，該組織從 2022 年 3 月開始將 BlackCat 添加到他們的分布式有效負載列表中，”微軟補充道。

“他們從上次使用的有效載荷（Hive）轉向 BlackCat 被懷疑是由于公眾圍繞后者的解密方法進行的討論。”

BlackCat 勒索軟件也被跟蹤為 DEV-0504 的附屬組織部署，該組織通常使用 Stealbit 泄露被盜數據，這是 LockBit 團伙為其附屬機構提供的一種惡意工具，作為其 RaaS 計劃的一部分。

從 2021 年 12 月開始，DEV-0504 還使用了其他勒索軟件毒株，包括 BlackMatter、Conti、LockBit 2.0、Revil 和 Ryuk。

為了防御 BlackCat 勒索軟件攻擊，微軟建議組織審查其身份狀況，監控對其網絡的外部訪問，并盡快更新其環境中所有易受攻擊的 Exchange 服務器。

用于數百次勒索軟件攻擊 

4 月，FBI 在緊急警報中警告稱，BlackCat 勒索軟件已被用于在 2021 年 11 月至 2022 年 3 月期間對全球至少 60 個組織的網絡進行加密。

“BlackCat/ALPHV 的許多開發人員和洗錢者都與 Darkside/Blackmatter 有關聯，這表明他們擁有廣泛的網絡和勒索軟件操作經驗，”聯邦調查局當時表示。

但是，鑒于 2021 年 11 月至 2022 年 6 月期間在 ID-Ransomware 平臺上提交了 480 多個樣本，BlackCat 受害者的實際數量很可能要高得多。

在 4 月份的警報中，FBI 還要求在其網絡中檢測到 BlackCat 活動的管理員和安全團隊與當地的 FBI Cyber Squad 共享任何相關的事件信息。

有助于追蹤和識別在攻擊中使用此勒索軟件的威脅參與者的有用信息包括“IP 日志顯示來自外國 IP 地址、比特幣或門羅幣地址和交易 ID 的回調、與威脅參與者的通信、解密器文件和/或加密文件的良性樣本。”