针对未修补的Microsoft Exchange服务器的BlackCat勒索软件团伙

Microsoft警告说，BlackCat勒索软件团队正在利用未修补的Exchange server漏洞进行攻击，以访问目标网络。

在获得入口点后，攻击者迅速移动以收集有关受损机器的信息，然后进行凭证盗窃和横向移动活动，然后获取知识产权并丢弃勒索软件负载。

微软365 Defender威胁情报团队在本周发布的一份报告中表示，整个事件过程持续了整整两周。

BlackCat，也被称为ALPHV和Noberus，是一个相对较新的进入超活跃勒索软件领域的人。众所周知，它也是第一个用Rust编写的跨平台勒索软件之一，体现了一种趋势，即威胁行为者正转向不常见的编程语言以逃避检测。

RaaS模式已被证明是一个利润丰厚的gig经济型网络安全犯罪生态系统，由三个不同的关键角色组成：访问经纪人（IAB），他们破坏网络并保持持久性；开发和维护勒索软件操作的操作员；以及从IABs购买访问权限以部署实际有效载荷的附属公司。

根据美国联邦调查局（FBI）发布的警报，自2021年11月首次发现黑猫勒索软件以来，截至2022年3月，全球至少有60家实体受到黑猫勒索软件攻击。

此外，微软表示，与Hive、Conti、REvil和LockBit 2.0等多个勒索软件家族有关联的“两个数量最多的”分支威胁集团目前正在分发BlackCat。

这包括DEV-0237（又名FIN12），这是一个出于经济动机的威胁行为体，最后一次看到它是在2021 10月针对医疗保健部门的，以及DEV-0504，它自2020年起一直处于活动状态，并且在RaaS项目关闭时有转移有效载荷的模式。

“DEV-0504负责在2022年1月在能源行业的公司部署BlackCat勒索软件，”微软上月表示。“大约在同一时间，DEV-0504还部署BlackCat攻击时装、烟草、IT和制造业等行业的公司。”