BlackCat Ransomware Menargetkan Kerentanan Microsoft Exchange Server
Microsoft telah mengeluarkan peringatan bahwa kelompok BlackCat ransomware mendapatkan akses ke jaringan yang ditargetkan dengan mengeksploitasi kerentanan Microsoft Exchange server yang belum ditambal.
Setelah mendapatkan akses, penyerang melanjutkan dengan cepat untuk memperoleh informasi tentang mesin yang disusupi, diikuti oleh pencurian kredensial dan pergerakan lateral, sebelum mengambil kekayaan intelektual dan menyebarkan muatan ransomware.
Seluruh rangkaian peristiwa terjadi selama dua minggu, menurut sebuah laporan yang dikeluarkan minggu ini oleh Microsoft 365 Defender Threat Intelligence Team.
"Dalam insiden lain yang kami amati, kami menemukan bahwa afiliasi ransomware memperoleh akses awal ke lingkungan melalui server Remote Desktop yang terhubung ke internet menggunakan kredensial yang disusupi untuk masuk," para peneliti menjelaskan, menunjukkan bahwa "tidak ada dua BlackCat 'hidup' atau penyebaran mungkin terlihat sama."
BlackCat, juga dikenal sebagai ALPHV dan Noberus, adalah pendatang baru di dunia ransomware hiperaktif. Itu juga salah satu ransomware lintas platform pertama yang ditulis dalam bahasa pemrograman Rust, yang menunjukkan tren di mana pelaku ancaman beralih ke bahasa pemrograman yang tidak jelas dalam upaya menghindari deteksi.
Terlepas dari vektor akses awal yang digunakan, skema ransomware-as-a-service (RaaS) berakhir dengan eksfiltrasi dan enkripsi data target, yang kemudian diadakan tebusan sebagai bagian dari apa yang dikenal sebagai pemerasan ganda.
Skema RaaS telah terbukti menjadi ekosistem cybercriminal bergaya ekonomi pertunjukan yang menguntungkan yang terdiri dari tiga pemain kunci yang berbeda :
- Broker akses (IAB), yang mengkompromikan jaringan dan mempertahankan kegigihan
- Operator, yang mengembangkan dan memelihara operasi ransomware
- Afiliasi, yang membeli akses dari IAB untuk menerapkan muatan sebenarnya.
Menurut peringatan U.S. Federal Bureau of Investigation (FBI), serangan BlackCat ransomware telah mempengaruhi setidaknya 60 entitas di seluruh dunia pada Maret 2022, setelah pertama kali terlihat pada November 2021.
Selain itu, Microsoft menyatakan bahwa "dua organisasi ancaman afiliasi paling aktif", yang telah dikaitkan dengan berbagai keluarga ransomware termasuk Hive, Conti, REvil, dan LockBit 2.0, kini mendistribusikan BlackCat.
DEV-0237 (alias FIN12), aktor ancaman bermotivasi finansial, terakhir terlihat menargetkan sektor perawatan kesehatan pada Oktober 2021, dan DEV-0504, yang telah aktif sejak 2020 dan memiliki kecenderungan bertukar muatan saat program RaaS dimatikan .
"DEV-0504 bertanggung jawab untuk mendistribusikan BlackCat ransomware dalam perusahaan energi pada Januari 2022," kata Microsoft bulan lalu. "Pada saat yang sama, DEV-0504 menggunakan BlackCat dalam serangan terhadap perusahaan di industri fashion, tembakau, IT, dan manufaktur."
Jika ada, data menunjukkan bagaimana aktor afiliasi semakin menggunakan RaaS untuk memonetisasi serangan mereka, sementara menggunakan proses pra-tebusan yang sangat berbeda untuk mengirimkan muatan ransomware dalam jaringan organisasi target, memberikan rintangan besar bagi langkah-langkah pertahanan konvensional.
"Mendeteksi ancaman seperti BlackCat, meskipun berguna, tidak lagi cukup karena ransomware yang dioperasikan manusia terus berkembang, bermutasi, dan beradaptasi dengan jaringan tempat mereka diinstal atau penyerang tempat mereka bekerja," kata para peneliti. "Serangan semacam ini akan terus berhasil dengan mengeksploitasi kebersihan kredensial organisasi yang buruk dan konfigurasi warisan atau kesalahan konfigurasi."