Microsoft warnt vor Lücke in Exchange -Servern
16. Juni 2022Microsoft warnt vor Lücke in Exchange -Servern
New York, 16.6.2022
Microsoft warnt davor, dass die BlackCat-Ransomware-Crew Sicherheitslücken in Exchange-Servern ausnutzt, um Zugang zu den Zielnetzwerken zu erhalten.
Nachdem sie sich Zugang verschafft hatten, sammelten die Angreifer schnell Informationen über die kompromittierten Rechner und führten anschließend den Diebstahl von Anmeldeinformationen und Seitwärtsbewegungen durch, bevor sie geistiges Eigentum erbeuteten und die Ransomware-Nutzlast abwarfen.
Die gesamte Abfolge der Ereignisse spielte sich im Laufe von zwei vollen Wochen ab, so das Microsoft 365 Defender Threat Intelligence Team in einem diese Woche veröffentlichten Bericht.
„Bei einem anderen Vorfall, den wir beobachtet haben, haben wir festgestellt, dass ein Ransomware-Ableger zunächst über einen Remote-Desktop-Server mit Internetzugang Zugang zu der Umgebung erlangt hat, indem er sich mit kompromittierten Anmeldedaten angemeldet hat“, so die Forscher, die darauf hinweisen, dass keine zwei BlackCat-‚Leben‘ oder -Einsätze gleich aussehen.
BlackCat, auch bekannt unter den Namen ALPHV und Noberus, ist ein relativ neuer Vertreter der hyperaktiven Ransomware. Es ist auch bekannt, dass es sich um eine der ersten plattformübergreifenden Ransomware handelt, die in Rust geschrieben wurde, was einen Trend verdeutlicht, bei dem Bedrohungsakteure auf ungewöhnliche Programmiersprachen umsteigen, um sich der Entdeckung zu entziehen.
Das Ransomware-as-a-Service (RaaS)-Schema gipfelt unabhängig von den verschiedenen anfänglichen Zugriffsvektoren in der Exfiltration und Verschlüsselung von Zieldaten, für die dann im Rahmen einer so genannten doppelten Erpressung Lösegeld verlangt wird.