Серверы Microsoft Exchange взламываются для развертывания программ-вымогателей

Серверы Microsoft Exchange взламываются для развертывания программ-вымогателей

14 июня 2022 г.

Каждая атака программы-вымогателя начинается со скомпрометированной конечной точки, и с этой целью злоумышленники начали изучать серверы Microsoft Exchange. Согласно отчету опубликовано группой Microsoft 365 Defender Threat Intelligence Team, по крайней мере один неисправленный и уязвимый server был атакован мошенниками и использовался для получения доступа к целевой сети.

Заняв плацдарм, злоумышленники рыскали по округе, составляя карту сети, похищая учетные данные и извлекая данные для последующего использования в атаке с двойным вымогательством.

После успешного выполнения этих шагов злоумышленник развернул программу-вымогатель BlackCat с помощью PsExec.

Поделитесь своими мыслями по кибербезопасности и получите бесплатную копию Руководства хакера 2022. Помогите нам узнать, как компании готовятся к миру после пандемии COVID-19, и влияние этих действий на их планы кибербезопасности. Введите свой адрес электронной почты в конце этого опроса, чтобы получить книжный журнал стоимостью 10,99 долларов США. 10,99 фунтов стерлингов.

Потенциальные злоумышленники

«Хотя общие векторы проникновения для этих субъектов угроз включают приложения удаленного рабочего стола и скомпрометированные учетные данные, мы также видели, как субъект угрозы использует уязвимости сервера Exchange для получения доступа к целевой сети», — заявила группа Microsoft 365 Defender Threat Intelligence Team.

Хотя эти факты являются фактами, есть несколько других, которые в настоящее время находятся в сфере спекуляций, а именно — уязвимости, которыми злоупотребляют, и причастные к ним субъекты угроз. BleepingComputer считает, что рассматриваемая уязвимость сервера Exchange была рассмотрена в бюллетене по безопасности от марта 2021 года, в котором предлагаются меры по смягчению последствий атак ProxyLogon.

Подробнее

> < strong>Эта коварная программа-вымогатель стала опаснее, чем когда-либо

> Большинство жертв программ-вымогателей платят, но многие никогда не восстанавливают свои данные

> Эта программа-вымогатель надеется сделать мир лучше | ТехРадар

Что касается потенциальных угроз, то в верхней части списка находятся два имени: FIN12 и DEV-0504. В то время как первая является финансово мотивированной группой, известной развертыванием вредоносного ПО и штаммов программ-вымогателей в В прошлом последняя представляла собой аффилированную группу, обычно использующую Stealbit для кражи данных.

«Мы заметили, что эта группа добавила BlackCat в свой список распределенных полезных нагрузок, начиная с марта 2022 года», — говорится в сообщении Microsoft о FIN12. «Подозревается, что их переход на BlackCat с их последней использованной полезной нагрузки (Hive) произошел из-за публичного обсуждения методологий расшифровки последнего».

Для защиты от программ-вымогателей Microsoft предлагает компаниям обновлять свои конечные точки и отслеживать свои сети на наличие подозрительного трафика. . Развертывание надежного решения кибербезопасности также всегда приветствуется.

Через: BleepingComputer

Оригинал

🔥 Популярное на этой неделе

⭐ Самое популярное

Categories


PREVIOUS ARTICLE
NEXT ARTICLE