Microsoft memperingatkan bahwa kru ransomware BlackCat memanfaatkan eksploitasi untuk kerentanan server Exchange yang belum ditambal untuk mendapatkan akses ke jaringan yang ditargetkan.
Setelah mendapatkan titik masuk, penyerang dengan cepat bergerak untuk mengumpulkan informasi tentang mesin yang disusupi, diikuti dengan melakukan pencurian kredensial dan aktivitas pergerakan lateral, sebelum mengambil kekayaan intelektual dan menjatuhkan muatan ransomware.
Seluruh rangkaian peristiwa dimainkan selama dua minggu penuh, kata Tim Intelijen Ancaman Pembela Microsoft 365 dalam sebuah laporan yang diterbitkan minggu ini.
“Dalam insiden lain yang kami amati, kami menemukan bahwa afiliasi ransomware memperoleh akses awal ke lingkungan melalui server Remote Desktop yang terhubung ke internet menggunakan kredensial yang disusupi untuk masuk,” kata para peneliti, menunjukkan bagaimana “tidak ada dua BlackCat ‘hidup’ atau penyebaran mungkin terlihat sama.”
BlackCat, juga dikenal dengan nama ALPHV dan Noberus, adalah pendatang baru di ruang ransomware hiperaktif. Ini juga dikenal sebagai salah satu ransomware lintas platform pertama yang ditulis dalam Rust, yang menunjukkan tren di mana pelaku ancaman beralih ke bahasa pemrograman yang tidak umum dalam upaya untuk menghindari deteksi.
Skema ransomware-as-a-service (RaaS), terlepas dari berbagai vektor akses awal yang digunakan, memuncak dalam eksfiltrasi dan enkripsi data target yang kemudian menahan tebusan sebagai bagian dari apa yang disebut pemerasan ganda.
Model RaaS telah terbukti menjadi ekosistem kejahatan dunia maya bergaya ekonomi pertunjukan yang menguntungkan yang terdiri dari tiga pemain kunci yang berbeda: pialang akses (IAB), yang mengkompromikan jaringan dan mempertahankan kegigihan; operator, yang mengembangkan dan memelihara operasi ransomware; dan afiliasi, yang membeli akses dari IAB untuk menerapkan muatan sebenarnya.
Menurut peringatan yang dikeluarkan oleh Biro Investigasi Federal AS (FBI), serangan ransomware BlackCat telah menjadi korban setidaknya 60 entitas di seluruh dunia pada Maret 2022 sejak pertama kali terlihat pada November 2021.
Lebih lanjut, Microsoft mengatakan bahwa “dua kelompok ancaman afiliasi paling produktif”, yang telah dikaitkan dengan beberapa keluarga ransomware seperti Hive, Conti, REvil, dan LockBit 2.0, kini mendistribusikan BlackCat.
Ini termasuk DEV-0237 (alias FIN12), aktor ancaman bermotivasi finansial yang terakhir terlihat menargetkan sektor perawatan kesehatan pada Oktober 2021, dan DEV-0504, yang telah aktif sejak 2020 dan memiliki pola pemindahan muatan saat program RaaS ditutup. turun.
“DEV-0504 bertanggung jawab untuk menyebarkan ransomware BlackCat di perusahaan-perusahaan di sektor energi pada Januari 2022,” kata Microsoft bulan lalu. “Sekitar waktu yang sama, DEV-0504 juga mengerahkan BlackCat dalam serangan terhadap perusahaan-perusahaan di industri mode, tembakau, TI, dan manufaktur, antara lain.”