Microsoft đang cảnh báo rằng nhóm ransomware BlackCat đang lợi dụng việc khai thác Exchange server để có quyền truy cập vào mạng.
Ngay khi có quyền truy cập, các tác nhân độc hại nhanh chóng thu thập thông tin về các máy bị xâm nhập để thực hiện các hoạt động đánh cắp thông tin xác thực trước khi thu thập các thông tin nhạy cảm và phát tán ransomware.
Microsoft 365 Defender Threat Intelligence Team cho biết, toàn bộ chuỗi tấn công diễn ra suốt hai tuần.
Theo các chuyên gia: “trong một sự cố khác, chúng tôi phát hiện một nhóm ransomware đã có được quyền truy cập bước đầu vào mạng thông qua một máy tính kết nối từ xa sử dụng các thông tin đăng nhập bị đánh cắp. Không thể có BlackCat thứ hai có cùng cách thức khai thác như vậy.”
BlackCat, còn được biết đến với tên ALPHV và Noberus, là một công ty tương đối mới tham gia vào không gian ransomware. Nó cũng được biết đến là một trong những ransomware đa nền tảng đầu tiên được viết bằng Rust, thể hiện xu hướng chuyển sang các ngôn ngữ lập trình không phổ biến của các nhóm hacker để cố gắng tránh bị phát hiện.
Lược đồ ransomware-as-a-service (RaaS), bất kể các vectơ truy cập ban đầu khác nhau được sử dụng, lên đến đỉnh điểm trong việc lọc và mã hóa dữ liệu mục tiêu sau đó đòi tiền chuộc như một phần của tống tiền kép.
Mô hình RaaS đã được chứng minh là một hệ sinh thái tội phạm mạng kiểu kinh tế hợp đồng sinh lợi bao gồm ba thành phần chính: các nhà môi giới truy cập (IAB), những kẻ xâm phạm mạng và duy trì truy cập; người vận hành, những người phát triển và duy trì hoạt động của ransomware; và các chi nhánh, những người mua quyền truy cập từ IAB để triển khai thực tế.
Theo một cảnh báo do Cục Điều tra Liên bang Hoa Kỳ (FBI) đưa ra, các cuộc tấn công bằng mã độc tống tiền (ransomware) BlackCat đã tác động ít nhất 60 thực thể trên toàn thế giới tính đến tháng 3 năm 2022 kể từ khi nó được phát hiện lần đầu tiên vào tháng 11 năm 2021.
Bên cạnh đó, Microsoft cho biết “hai trong số các nhóm mối đe dọa liên kết phổ biến nhất”, có liên quan đến một số họ ransomware như Hive, Conti, REvil và LockBit 2.0, hiện đang phân phối BlackCat. Gồm cả DEV-0237 (hay còn gọi là FIN12), một tác nhân đe dọa vơi động cơ tài chính xuất hiện lần cuối vào tháng 10/2021 và DEV-0504, hoạt động từ 2020 đã có động thái thay đổi tải trọng.
Tháng trước, Microsoft lưu ý “DEV-0504 chịu trách nhiệm triển khai phần mềm tống tiền BlackCat trong các công ty trong lĩnh vực năng lượng vào tháng 1 năm 2022. Cùng lúc đó, DEV-0504 cũng đã triển khai BlackCat trong các cuộc tấn công các công ty trong ngành thời trang, thuốc lá, CNTT và sản xuất, và một số công ty khác.”