Microsoft intensifica su batalla contra el ransomware. Recientemente, la compañía afirmó que el ransomware BlackCat está atacando los servidores de Microsoft Exchange. Los objetivos son equipos con las vulnerabilidades sin parchear.

En al menos un incidente, los especialistas en seguridad de Microsoft notaron que los atacantes revisaron cuidadosamente la red de la víctima, obteniendo credenciales y exfiltrando información para usarla en una doble extorsión.

El actor de amenazas usó PsExec para distribuir cargas útiles de ransomware BlackCat en la red dos semanas después del ataque original utilizando un servidor Exchange sin parches como vector de entrada.

Los vectores de entrada comunes para estos actores de amenazas incluyen aplicaciones de escritorio remoto y credenciales comprometidas.

Aún se desconoce el alcance del daño, y tampoco se mencionó la vulnerabilidad de Exchange utilizada para el acceso inicial.
Tampoco se mencionó al afiliado de ransomware que implementó el ransomware BlackCat en este estudio de caso de Microsoft.

Se sospecha que un equipo de ciberdelincuencia impulsado financieramente conocido como FIN12 está involucrado en este ataque.

Los objetivos principales de FIN12 fueron las organizaciones de atención médica.

Estos operadores son mucho más rápidos y tardan menos de dos días en descargar sus cargas útiles de cifrado de archivos en la red de un objetivo. Microsoft observó que FIN12 agregó BlackCat a su lista de cargas útiles distribuidas a partir de marzo de 2022.

El ransomware BlackCat también está siendo utilizado por un grupo afiliado conocido como DEV-0504, que utiliza Stealbit.

Stealbit es una herramienta maliciosa proporcionada por el grupo LockBit a sus afiliados como parte de su esquema RaaS, para exfiltrar datos robados. Desde diciembre de 2021, DEV-0504 también ha utilizado otras variedades de ransomware como BlackMatter, Conti, LockBit 2.0, Revil y Ryuk.

Fuente: https://blog.nivel4.com/noticias/servidores-microsoft-exchange-bajo-ataque-de-blackcat/