Microsoft warnt davor, dass die BlackCat-Ransomware-Crew Sicherheitslücken in Exchange-Servern ausnutzt, um sich Zugang zu den Zielnetzwerken zu verschaffen.
Nachdem sie sich Zugang verschafft hatten, sammelten die Angreifer schnell Informationen über die kompromittierten Rechner und führten anschließend einen Diebstahl von Zugangsdaten und Seitwärtsbewegungen durch, bevor sie geistiges Eigentum erbeuteten und die Ransomware-Nutzlast abwarfen.
Die gesamte Abfolge der Ereignisse spielte sich im Laufe von zwei Wochen ab, so das Microsoft 365 Defender Threat Intelligence Team in einem diese Woche veröffentlichten Bericht.
„Bei einem anderen Vorfall, den wir beobachtet haben, stellte sich heraus, dass ein Ransomware-Ableger zunächst über einen Remote-Desktop-Server mit Internetzugang Zugriff auf die Umgebung erlangte, indem er sich mit kompromittierten Anmeldedaten anmeldete“, so die Forscher und wiesen darauf hin, dass „keine zwei BlackCat-‚Leben‘ oder Einsätze gleich aussehen“.
BlackCat, auch bekannt unter den Namen ALPHV und Noberus, ist ein relativ neuer Vertreter der hyperaktiven Ransomware. Es ist auch bekannt, dass es eine der ersten plattformübergreifenden Ransomware ist, die in Rust geschrieben wurde, was einen Trend verdeutlicht, bei dem Bedrohungsakteure auf ungewöhnliche Programmiersprachen umsteigen, um der Entdeckung zu entgehen.
Das Ransomware-as-a-Service (RaaS)-Schema gipfelt unabhängig von den verschiedenen anfänglichen Zugangsvektoren in der Exfiltration und Verschlüsselung der Zieldaten, die dann im Rahmen einer so genannten doppelten Erpressung als Lösegeld gefordert werden.
Das RaaS-Modell hat sich als lukratives cyberkriminelles Ökosystem erwiesen, das aus drei verschiedenen Hauptakteuren besteht: Access Broker (IABs), die Netzwerke kompromittieren und die Persistenz aufrechterhalten; Operatoren, die die Ransomware-Operationen entwickeln und aufrechterhalten; und Affiliates, die den Zugang von IABs kaufen, um die eigentliche Nutzlast zu verteilen.
Laut einer Warnung des U.S. Federal Bureau of Investigation (FBI) wurden bis März 2022 weltweit mindestens 60 Unternehmen Opfer von BlackCat Ransomware-Angriffen, seit die Ransomware im November 2021 erstmals entdeckt wurde.
Darüber hinaus sagte Microsoft, dass „zwei der produktivsten“ angeschlossenen Bedrohungsgruppen, die mit mehreren Ransomware-Familien wie Hive, Conti, REvil und LockBit 2.0 in Verbindung gebracht werden, jetzt BlackCat verbreiten.
Dazu gehören DEV-0237 (auch bekannt als FIN12), ein finanziell motivierter Bedrohungsakteur, der zuletzt im Oktober 2021 im Gesundheitswesen gesichtet wurde, und DEV-0504, der seit 2020 aktiv ist und die Nutzlast wechselt, wenn ein RaaS-Programm abgeschaltet wird.
„DEV-0504 war für die Verbreitung der Ransomware BlackCat in Unternehmen des Energiesektors im Januar 2022 verantwortlich“, stellte Microsoft letzten Monat fest. „Ungefähr zur gleichen Zeit setzte DEV-0504 BlackCat auch bei Angriffen auf Unternehmen in der Mode-, Tabak-, IT- und Fertigungsbranche ein, um nur einige zu nennen.
Die Ergebnisse deuten darauf hin, dass die Angreifer zunehmend auf den RaaS-Zug aufspringen, um ihre Angriffe zu monetarisieren, und dabei ganz andere Schritte vor der Erpressung unternehmen, um die Ransomware-Nutzlast in das Netzwerk des Zielunternehmens einzuschleusen, was herkömmliche Verteidigungsmaßnahmen vor große Herausforderungen stellt.
„Die Erkennung von Bedrohungen wie BlackCat ist zwar gut, reicht aber nicht mehr aus, da von Menschen betriebene Ransomware weiter wächst, sich weiterentwickelt und sich an die Netzwerke, in denen sie eingesetzt wird, oder an die Angreifer, für die sie arbeitet, anpasst“, so die Forscher. „Diese Arten von Angriffen nutzen weiterhin die mangelnde Hygiene der Anmeldeinformationen und die veralteten oder falschen Konfigurationen eines Unternehmens aus, um erfolgreich zu sein.