Специалисты Microsoft подтвердили, что партнеры BlackCat пытаются атаковать инфраструктуру Microsoft Exchange, используя для этого обнаруженные ранее уязвимости.
Зафиксирован как минимум один инцидент, когда злоумышленники перемещались по узлам корпоративной сети организации, собирая важные данные. Специалисты предполагают, что дальнейшая атака будет подразумевать двойное вымогательство – за нераспространение похищенных данных и за дешифровку.
Через две недели после взлома сервера Exchange по всей сети был распространен вирус-шифровальщик BlackCat. Вероятнее всего, злоумышленники используют для взлома уязвимость ProxyLogon, которая была изучена более года назад.
BlackCat – шифровальщик, который распространяется по схеме RaaS (комплект услуг), ее используют уже несколько крупных хакерских групп. Среди них, к примеру, замечена группа FIN12, которая ранее распространяла вирусы Hive, Conti и Ryuk (атаки направлены, в основном, на сферу здравоохранения). В начале 2022 года группировка перешла использование BlackCat, возможно, из-за снижения эффективности работы с Hive – появились инструменты для дешифровки поврежденных файлов.
Также новый шифровальщик активно используется группой DEV-054. Данная группировка известна, тем, что использует для вывода украденной информации инструмент Stealbit. Также в арсенале злоумышленников зафиксированы приложения Revil, Ryuk, BlackMatter, LockBit 2.0 и Conti.
В апреле был опубликован очередной бюллетень ФБР. Из него следует, что с ноября 2021 года от BlackCat пострадало не менее 60 организаций. Также была выявлена связь между DarkSide/Blackmatter и BlackCat: общие схемы вывода денег, общие разработчики и т.п.
Представители ФБР также обратились к пострадавшим от BlackCat с просьбой предоставлять детали зафиксированных атак. Это позволит быстрее установить, какая группировка стоит за взломом.