Sophos Rapid Response ha indagato su almeno cinque attacchi che hanno coinvolto BlackCat e in quattro casi è stato possibile entrare sfruttando vulnerabilità, tra cui una che risale al 2018 in prodotti di diversi fornitori di firewall.
Una volta entrati nella rete, gli aggressori hanno ottenuto le credenziali VPN memorizzate su questi firewall e poi si sono spostati lateralmente utilizzando RDP.
“Quello che stiamo vedendo con BlackCat e altri attacchi recenti è che gli attori delle minacce sono molto efficienti ed efficaci nel loro lavoro. Utilizzano metodi consolidati, come l’attacco a firewall e VPN vulnerabili, perché sanno che funzionano ancora. Ma danno prova di innovazione per evitare le difese di sicurezza, come il passaggio al più recente framework C2 post-exploitation Brute Ratel nei loro attacchi“, ha dichiarato Christopher Budd, senior manager di Sophos per la ricerca sulle minacce.
“Il denominatore comune di tutti questi attacchi è la facilità di esecuzione. In un caso, gli stessi aggressori di BlackCat hanno installato i cryptominer un mese prima di lanciare il ransomware. Quest’ultima ricerca evidenzia quanto sia importante seguire le best practice di sicurezza consolidate; esse hanno ancora molto potere per prevenire e sventare gli attacchi, compresi quelli multipli contro un’unica rete“.
