Microsoft ha descritto alcuni recenti attacchi ransomware effettuati dal gruppo BlackCat contro server Exchange non aggiornati. Nonostante il rilascio della patch per le vulnerabilità ProxyLogon, avvenuto oltre un anno fa, ci sono ancora aziende che non hanno installato gli aggiornamenti. È inoltre fortemente consigliata l’installazione di una soluzione di sicurezza che rileva e blocca questo tipo di malware. Tra le migliori c’è Bitdefender GravityZone Business Security.
BlackCat colpisce ancora
BlackCat appartiene alla famiglia dei RaaS (Ransomware-as-a-Service), quindi viene offerto come servizio a diversi cybercriminali. Il malware è scritto in Rust e supporta più sistemi operativi (Windows, Linux e istanze VMware). Le sue funzionalità sono note: cifra i file, cancella le copie shadow, aggira il controllo dell’account utente, rileva informazioni sulla rete e si propaga ad altri computer collegati alla rete. Può inoltre modificare il boot loader.
Nell’articolo pubblicato da Microsoft vengono descritti due recenti attacchi. Nel primo caso sono state sfruttate le vulnerabilità del server Exchange. Dopo aver guadagnato l’accesso al server, i cybercriminali hanno raccolto varie informazioni, rubato le credenziali e raccolto numerosi dati aziendali riservati. Il ransomware è stato distribuito circa due settimane dopo usando il tool PsExec. Nel secondo caso, l’ingresso nella rete è avvenuto con Remote Desktop e credenziali rubate, ma il risultato finale è identico: cifratura dei file e richiesta di riscatto.
BlackCat non viene utilizzato solo dagli autori originali. Microsoft ha scoperto attacchi effettuati dalla gang che distribuisce anche Conti, Ruyk e Hive, e dal gruppo che distribuisce anche StealBit, LockBit 2.0, BlackMatter e Revil.