CyberCriminals: BitWise Spider il gruppo dietro Black Cat

La settimana scorso vi ho parlato del gruppo #BitwiseSpider che sta dietro al #ransomware #BlackCat. Oggi voglio continuare a parlare di questo gruppo mostrandovi le tecniche e procedure di attacco utilizzate.
L’accesso iniziale, è generalmente effettuato sfruttando le vulnerabilità di #MicrosoftExchange CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065.


Gli attaccanti una volta entrati mantengono l’accesso utilizzando #ConnectWise, un software legittimo utilizzato per la gestione remota di postazioni.


Oltre all'utilizzo di queste vulnerabilità, #BleepingComputers ci riferisce che #BlackCat utilizza per diffondersi anche la famigerata botnet #Emotet. Questa #botnet viene utilizzata per installare Cobalt Strike che consente il movimento laterale necessario per la sua diffusione.


Dopo aver ottenuto l'accesso alla rete, gli attori malintenzionati compromettono le difese dell'organizzazione bersaglio disinstallando le applicazioni #antivirus, utilizzando AdFind e ADRecon per impossessarsi degli account di dominio delle vittime e SoftPerfect per trovare informazioni sulla rete. Gli attaccanti BlackCat sfruttano anche #ProcessHacker e #Mimikatz per accedere e scaricare le credenziali delle vittime.
Per eseguire movimenti laterali viene utilizzato MobaXterm oppure se il vettore di infezione è Emotet, viene utilizzato, come detto in precedenza CobalStrike.
Il Bitwise Spider utilizza anche #ExMatter per rubare informazioni per doppia estorsione, ma anche 7-Zip, Rclone, MEGASync o WinSCP per archiviare le informazioni rubate, che inviano al loro #C2.

Pin It

A cura di...

Antonio Capobianco
Antonio Capobianco
Malware Analyst
Image
Vincenzo Alonge
Ethical Hacker e Forensic Analyst
Image
Andrea Tassotti
Ethical Hacker e Pentester
Image
Andrea Covino
Ethical Hacker e Forensic Analyst

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2024 Fata Informatica. Tutti i diritti riservati.