Microsoft avverte che la gang del ransomware BlackCat sta sfruttando gli exploit per le vulnerabilità del server Exchange senza patch al fine di ottenere l’accesso alle reti mirate.
Dopo aver ottenuto un punto di ingresso, gli aggressori si sono rapidamente spostati per raccogliere informazioni sulle macchine compromesse, per poi svolgere attività di furto di credenziali e movimento laterale, prima di raccogliere la proprietà intellettuale e far cadere il payload del ransomware.
L’intera sequenza di eventi si è svolta nel corso di due intere settimane, ha affermato il team di Microsoft 365 Defender Threat Intelligence in un rapporto pubblicato questa settimana.
“In un altro incidente che abbiamo osservato, abbiamo scoperto che un affiliato di un ransomware ha ottenuto l’accesso iniziale all’ambiente tramite un server Desktop remoto connesso a Internet utilizzando credenziali compromesse per l’accesso”, hanno affermato i ricercatori, sottolineando come due attacchi dello stesso ransomware non saranno mai uguali, ma useranno sempre tecniche diverse.
BlackCat, noto anche con i nomi ALPHV e Noberus, è un nuovo arrivato nello spazio iperattivo del ransomware. È anche noto per essere uno dei primi ransomware multipiattaforma scritti in Rust, esemplificando una tendenza in cui gli attori delle minacce informatiche stanno passando a linguaggi di programmazione non comuni nel tentativo di eludere il rilevamento.
Lo schema ransomware-as-a-service (RaaS), indipendentemente dai vari vettori di accesso iniziali impiegati, culmina nell’esfiltrazione e nella crittografia dei dati di destinazione che vengono poi tenuti in ostaggio come parte di quella che viene chiamata doppia estorsione.
Il modello RaaS ha dimostrato di essere un redditizio ecosistema criminale informatico in stile gig economy composto da tre diversi attori chiave:
- i broker di accesso (IAB), che compromettono le reti e mantengono la persistenza;
- gli operatori, che sviluppano e mantengono le operazioni di ransomware;
- gli affiliati, che acquistano l’accesso da IAB per distribuire il carico utile effettivo.
Secondo un avviso rilasciato dal Federal Bureau of Investigation (FBI) degli Stati Uniti, gli attacchi ransomware BlackCat hanno colpito almeno 60 entità in tutto il mondo a partire da marzo 2022 da quando è stato individuato per la prima volta nel novembre 2021.
Inoltre, Microsoft ha affermato che “due dei più prolifici” gruppi di minacce affiliate, che sono stati associati a diverse famiglie di ransomware come Hive, Conti, REvil e LockBit 2.0, stanno ora distribuendo BlackCat.
Ciò include DEV-0237 (aka FIN12), un attore di minacce motivate finanziariamente che è stato visto l’ultima volta prendere di mira il settore sanitario nell’ottobre 2021, e DEV-0504, che è attivo dal 2020 e ha uno schema di spostamento dei playloads quando un programma RaaS viene chiuso.
“DEV-0504 è stato responsabile della distribuzione del ransomware BlackCat nelle aziende del settore energetico nel gennaio 2022”, ha osservato Microsoft il mese scorso. “Più o meno nello stesso periodo, DEV-0504 ha anche implementato BlackCat in attacchi contro aziende nei settori della moda, del tabacco, dell’IT e manifatturiero, tra gli altri”.
Se non altro, i risultati sono un indicatore di come gli attori affiliati stiano sempre più saltando sul carro RaaS per monetizzare i loro attacchi, mentre abbracciano passaggi pre-riscatto notevolmente diversi per fornire il playload del ransomware all’interno della rete di un’organizzazione bersaglio, ponendo sfide significative agli approcci della difesa convenzionale.
“Rilevare minacce come BlackCat, sebbene sia buono, non è più sufficiente poiché il ransomware operato dall’uomo continua a crescere, evolversi e adattarsi alle reti in cui sono implementate o agli aggressori per cui lavorano”, hanno affermato i ricercatori. “Questi tipi di attacchi continuano a sfruttare la scarsa igiene delle credenziali di un’organizzazione e le configurazioni legacy o le configurazioni errate per avere successo”.