NESABAMEDIA.COM – Microsoft mengeluarkan pengumuman bahwa serangan siber yang terafiliasi oleh ransomware BlackCat sedang membidik layanan Microsoft Exchange Server, menggunakan eksploitasi yang menargetkan kerentanan yang belum mendapatkan penambalan.
Setidaknya dalam salah satu kasus yang diamati oleh pakar keamanan Microsoft, pelaku secara perlahan bergerak melalui jaringan korban, mencuri data kredensial, dan kemudian mengekstrak informasi.
Dua minggu setelah terjadinya kompromisasi awal menggunakan Exchange Server yang belum ditambal sebagai pintu masuknya, pelaku kemudian menyebarkan muatan ransomware BlackCat di seluruh jaringan korban melalui PsExec.
“Selain pintu masuk umum untuk pelaku ini termasuk aplikasi desktop jarak jauh dan kredensial yang telah disusupi, kami juga melihat pelaku memanfaatkan kerentanan Exchange Server untuk mendapatkan akses ke jaringan target,” ungkap tim dari Defender Threat Intelligence Microsoft 365.
Meskipun pihaknya tidak menyebutkan kerentanan mana di layanan Exchange Server yang digunakan untuk akses awal, Microsoft merujuk pada nasihat keamanan yang diterbitkan pada bulan Maret 2021 dengan petunjuk untuk melakukan investigasi dan mengatasi serangan ProxyLogon.
Selain itu, meski Microsoft juga tidak mengungkap nama afiliasi ransomware yang menyebarkan BlackCat dalam kasus tersebut, mereka mengatakan beberapa kelompok kejahatan dunia maya sekarang berafiliasi dengan operasi Ransomware sebagai layanan (RaaS), dan secara aktif menggunakannya dalam berbagai serangan siber.
Salah satu kelompok, diketahui menjadikan uang sebagai motivasi melakukan serangan, dan kelompok ini terlacak sebagai FIN12, yang sebelumnya juga dikenal telah menyebarkan ransomware Ryuk, Conti dan Hive, dalam serangan yang menargetkan organisasi kesehatan.
Namun diungkap juga bahwa FIN12 biasanya jauh lebih cepat dalam melakukan aksi, karena mereka terkadang melewati langkah pencurian data dan membutuhkan waktu kurang dari dua hari untuk kemudian mengirimkan muatan file enkripsi ke jaringan korban.
“Kami telah menemukan data bahwa kelompok ini mulai menambahkan ransomware BlackCat dalam daftar pengiriman muatan sejak bulan Maret 2022 ini. Mereka beralih ke BlackCat dari yang sebelumnya menggunakan Hive, dan diduga ini disebabkan oleh wacana publik seputar metodologi enkripsi terakhir,” tambahnya.
When you login first time using a Social Login button, we collect your account public profile information shared by Social Login provider, based on your privacy settings. We also get your email address to automatically create an account for you in our website. Once your account is created, you'll be logged-in to this account.
DisagreeAgree
Connect withD
I allow to create an account
When you login first time using a Social Login button, we collect your account public profile information shared by Social Login provider, based on your privacy settings. We also get your email address to automatically create an account for you in our website. Once your account is created, you'll be logged-in to this account.
