每一次勒索软件攻击都始于一个受损的端点,为此,威胁参与者现在已经开始调查 Microsoft Exchange 服务器。据 道(在新标签中打开)由 Microsoft 365 Defender 威胁情 团队发布,至少有一台未修补且易受攻击的服务器(在新标签中打开)成为骗子的目标,并被滥用以访问目标 络。
在站稳脚跟后,威胁参与者潜伏在周围,绘制 络图,窃取凭据,并提取数据以供以后用于双重勒索攻击。
成功完成这些步骤后,攻击者通过 PsExec部署了 BlackCat勒索软件。
潜在的攻击者
Microsoft 365 Defender 威胁情 团队表示:“虽然这些威胁参与者的常见入口向量包括远程桌面应用程序和受损凭据,但我们还看到威胁参与者利用 Exchange 服务器漏洞获取目标 络访问权限。”
虽然这些事情是事实,但目前还有一些其他的,目前处于推测领域,即 – 被滥用的漏洞和涉及的威胁参与者。BleepingComputer认为,2021 年 3 月的安全公告中涵盖了有问题的 Exchange 服务器漏洞,该公告建议了针对 ProxyLogon 攻击的缓解措施。
至于潜在的威胁参与者,有两个名字位居榜首:FIN12 和 DEV-0504。前者是一个出于经济动机的团体,以部署恶意软件而闻名(在新标签中打开)和过去的勒索软件变种,后者是通常部署 Stealbit 来窃取数据的附属组织。
“我们观察到,该组织从 2022 年 3 月开始将 BlackCat 添加到他们的分布式有效负载列表中,”微软在谈到 FIN12 时说。“他们从上次使用的有效载荷(Hive)转向 BlackCat 被怀疑是由于围绕后者的解密方法的公开讨论。”
为了防御勒索软件,微软建议企业应该更新他们的端点,并监控他们的 络(在新标签中打开)用于可疑流量。部署强大的 络安全解决方案(在新标签中打开)也总是一个受欢迎的想法。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!