เมนู

 Microsoft ถูกบริษัทในเครือของ BlackCat ransomware โจมตี  Exchange servers

Microsoft Exchange Server (1040)

Microsoft กล่าวถูกบริษัทในเครือของ BlackCat ransomware โจมตี Microsoft Exchange server โดยอาศัยช่องโหว่ที่ยังไม่ได้รับการแก้ไข

20 มิถุนายน 2565

🌐 จากเหตุการณ์นี้ผู้เชี่ยวชาญด้านความปลอดภัยของ Microsoft สังเกตเห็นว่าผู้โจมตีดำเนินการผ่านเครือข่ายเพื่อทำการขโมยข้อมูลประจำตัว และข้อมูลอื่นๆเพื่อใช้สำหรับทำ double extortion 📃
📅 สองสัปดาห์หลังจาก Exchange server ที่ยังไม่ได้แก้ไขถูกผู้โจมตีปรับใช้ payload ในส่วนของ BlackCat ransomware ทั้งเครือข่ายผ่านทาง PsExec 🌎
 
👨‍💻 ทางทีม Microsoft 365 Defender ได้ออกมาชี้แจงว่ายังพบผู้ใช้ประโยชน์จากช่องโหว่ของ Exchange server ในการเข้าถึงเครือข่ายผ่านการ remote desktop
 
🦠 แม้ว่าจะไม่ได้มีการพูดถึงช่องโหว่ Exchange server ที่ถูกพบแต่จะเป็นการให้คำแนะนำเรื่องความปลอดภัยในการใช้งาน รวมถึงการตรวจสอบ และวิธีป้องกันการโจมตีในช่วงเดือน มีนาคม ที่ผ่านมา
 
🤔 นอกจากนี้ Microsoft ไม่ได้ระบุชื่อบริษัทในเครือ ransomware ที่มีการนำ BlackCat ransomware มาปรับใช้ในครั้งนี้ แต่คาดว่าน่าจะมีหลายกลุ่มในเครือข่ายที่มีการใช้งาน Ransomware as a Service (RaaS)
 
พบกลุ่ม Cybercriminals สนใจการใช้ BlackCat ransomware 🐈‍⬛
 
👨‍💻 FIN12 หนึ่งในกลุ่มที่เป็นที่รู้จักจากการใช้งาน Ryuk, Conti และ Hive ransomware ในการโจมตีองค์กรที่เกี่ยวกับเรื่องสุขภาพเป็นหลัก ตามที่บริษัท Mandiant ได้เปิดเผยว่า FIN12 มีวิธีการทำงานที่รวดเร็วในการข้ามขั้นตอนการใช้งานต่างๆ เพื่อทำการขโมยข้อมูลและใช้เวลาแค่เพียง 2 วันในการเข้ารหัสข้อมูลของเป้าหมายผ่านเครือข่าย network  🌐
 
🐈‍⬛ BlackCat ransomware ยังถูกปรับใช้โดยกลุ่มพันธมิตรที่ชื่อ DEV-0504 จะทำการตรวจสอบข้อมูลที่ถูกขโมยมาโดยใช้ Stealbit ซึ่งเป็น tool ที่ทางกลุ่ม Lockbit มอบให้กับบริษัทในเครือใช้งานซึ่งเป็นส่วนหนึ่งของโปรแกรม Ransomware as a Service (RaaS) 🦠
 
👨‍💻 กลุ่ม DEV-0504 ยังมีการใช้ ransomware อื่นๆ ตั้งแต่ช่วงเดือนธันวาคมปีที่ผ่านมารวมถึง ransomwareตัวอื่นๆ เช่น BlackMatter, Conti, Lockbit 2.0 ,Revil และ Ryuk เพื่อเป็นการป้องกันการโจมตีจาก BlackCat 🐈‍⬛
 
🦠 ransomware ทาง Microsoft แนะนำให้ผู้ใช้งานมีการตรวจสอบสถานะของข้อมูลส่วนตัว รวมถึงการเชื่อมต่อจากเครือข่ายภายนอก และทำการอัพเดต Exchange server ที่มีช่องโหว่ให้เร็วที่สุด ⏩