BlackCat fidye yazılımı, yamasız MS Exchange aracılığıyla sistemlere giriyor

Rust programlama dilinde yazılan ilk fidye yazılım ailelerinden biri olan BlackCat, Kasım 2021’de sahneye girdi. Son dönemde en aktif fidye yazılım çeteleri arasında yerini aldı.

Bu hafta, tehdit istihbaratı ve İtalyan medyası şunu ima etti: Pisa Üniversitesi İtalya’da BlackCat fidye yazılımı tarafından vurulmuş olabilir. İddiaya göre grup, üniversiteden 16 Haziran’a kadar 4,5 milyon dolar ödemesini istedi.

Siber güvenlik analisti ANOZR WAY’e göre BlackCat, en aktif fidye yazılımı çetelerinden biri. sorumlu gözlemlenen toplam saldırıların yaklaşık %12’si için. Yalnızca iki operasyonel grup, gözlemlenen on saldırıdan yaklaşık dördünden sorumlu olan Lockbit 2.0 ve Conti’dir (%23).

Pazartesi günü Microsoft, BlackCat fidye yazılımı tehdidini detaylandıran bir blog yayınladı. Şirket, Windows ve Linux cihazlarına ve VMWare örneklerine karşı başarılı saldırılar gözlemledi.

ALPHV olarak da bilinen BlackCat fidye yazılımı, yaygın bir tehdit ve büyüyen bir hizmet olarak fidye yazılımı (RaaS) gig ekonomisinin başlıca örneğidir” dedi.

*{padding:0;kenar boşluğu:0;taşma:gizli}html,gövde{yükseklik:100%}img{konum:mutlak;genişlik:%100;üst:0;alt:0;kenar boşluğu:oto}açıklık{yükseklik: 48px;width:68px;position:absolute;left:50%;top:50%;margin:-24px 0 0 -34px}#bg{fill:#212121;opacity:.8}body:hover #bg{dolgu: #ed1d24;opaklık:1}

“>

Rust programlama dili, fidye yazılımı çetesinin geleneksel güvenlik araçları tarafından algılanmasını önlemeye yardımcı olur ve yükleri tersine çevirmeye veya bunları benzer eğilimlerle karşılaştırmaya çalışan savunucular için bir zorluk oluşturur.

Tipik olarak, bu tehdit aktörleri, uzak masaüstü uygulamaları ve güvenliği ihlal edilmiş kimlik bilgileri aracılığıyla sistemleri ihlal eder. Bir olayda Microsoft, saldırganların hedef kuruluşa girmek için yama uygulanmamış bir Exchange sunucusundan yararlandığını gözlemledi.

Microsoft, “Saldırganlar fidye yazılımı dağıtımına geçmeden önce, ilk güvenlik açığından tam iki hafta önceydi, böylece hesapları ve bir saldırganın faaliyetlerinden elde ettiği erişim kapsamını anlamak için uyarı etkinliğinin önceliklendirilmesi ve kapsamının belirlenmesi ihtiyacı vurgulandı.” söz konusu.

Şirket ayrıca en üretken bağlı kuruluş gruplarından ikisinin (DEV-0237 ve DEV-0504) BlackCat’i dağıttığını gözlemledi. DEV-0237’nin Hive, Conti ve Ryuk’u dağıttığı ve şu fidye aileleriyle oynadığı gözlemlendi: BlackMatter, Conti, LockBit 2.0, Revil ve Ryuk.

“Yük değiştirme, iş sürekliliğini sağlamak veya daha iyi bir kâr olasılığı varsa, bazı RaaS bağlı kuruluşları için tipiktir. Ne yazık ki kuruluşlar için bu tür bir benimseme, ilgili tehditleri tespit etme zorluğunu daha da artırıyor” dedi.