Microsoft ha condiviso un report sul suo sito tramite cui ha parlato della recente attuazione di alcuni attacchi di tipo ransomware messi a segno dal gruppo noto con il nome di BlackCat contro server Exchange non aggiornati. Per contrastare la cosa basterebbe installare la patch per le vulnerabilità ProxyLogon che l’azienda di Redmond ha provveduto a rilasciare oltre un anno fa, ma ci sono tante aziende che non hanno ancora provveduto ad aggiornare.
BlackCat colpisce i server Exchange non aggiornati
Per l'esecuzione di una parte degli attacchi, effettuati sia dagli autori originali che da altri gruppi, sono state sfruttate le vulnerabilità del server Exchange, per cui, dopo avervi effettuato l’accesso, i cybercriminali hanno raccolto varie informazioni, anche riservate, e rubato le credenziali. Il ransomware è stato distribuito due settimane dopo mediante il tool PsExec. Per altri attacchi, invece, l’ingresso nella rete è avvenuto con Remote Desktop e credenziali rubate.
Da notare che BlackCat è un ransomware che fa parte della famiglia dei RaaS, per cui viene offerto come servizio a diversi cybercriminali. È scritto in Rust e supporta differenti sistemi operativi: Windows, Linux e istanze VMware. Agisce criptando i file, eliminando le copie shadow, aggirando il controllo dell’account utente e rilevando informazioni sulla rete. Inoltre, è capace di attaccare altri computer collegati alla medesima rete e può modificare il boot loader.
Per evitare di incappare in attacchi ransomware e altre minacce informatiche, è bene equipaggiare i propri dispositivi con un buon antivirus valido pure per realtà business, come nel caso di Bitdefender GravityZone Business Security.