Een groep aanvallers maakt bij het uitvoeren van ransomware-aanvallen gebruik van Microsofts encryptietool BitLocker, zo laat het techbedrijf zelf in een blogposting weten. Microsoft noemt de groep DEV-0270 en vermoedt dat die vanuit Iran opereert. De groep weet organisaties binnen te dringen via bekende kwetsbaarheden in Exchange Server, zoals het ProxyLogon-lek, en Fortinet FortiOS.

Zodra er toegang tot een server is verkregen verkennen de aanvallers eerst de netwerkomgeving en proberen daarna wachtwoorden te bemachtigen. Ook maken ze een account aan om toegang te behouden en schakelen het remote desktopprotocol (RDP) in. Hiervoor wordt ook een aanpassing in de firewall doorgevoerd om RDP-verbindingen toe te staan.

De volgende stap in het proces is het uitschakelen van Microsoft Defender Antivirus en zich lateraal door het netwerk bewegen. Als laatste wordt Microsofts BitLocker-tool gebruikt voor het versleutelen van bestanden. Getroffen organisaties moeten vervolgens betalen voor de decryptiesleutel. Hiervoor vraagt de groep volgens Microsoft achtduizend dollar, wat in vergelijking met andere ransomware-aanvallen een zeer laag bedrag is.

DEV-0270 is volgens Microsoft een subgroep van een andere groep genaamd Phosphorus die ook vanuit Iran zou opereren. Eind vorig jaar beschreef Microsoft verschillende ransomware-aanvallen die door Phosphorus zouden zijn uitgevoerd en waarbij ook gebruik werd gemaakt van kwetsbaarheden in Exchange Server en bestanden via BitLocker werden versleuteld. Microsoft denkt dat de aanvallen van DEV-0270 mogelijk voor persoonlijk financieel gewin zijn. Om de aanvallen te voorkomen krijgen organisaties het advies om hun Exchange-servers te patchen.