تتعرض الشركات التي تستخدم إصدارات قديمة من Microsoft Exchange Server للابتزاز من خلال هجوم برنامج فدية جديد بتنسيق من Hive.
كل يومين، يبدو أن هناك قصة إخبارية عن البعض مشكلة أمنية كبيرة في أحد منتجات Microsoftواليوم، يبدو أن خادم Microsoft Exchange Server موجود في مركز خادم آخر. يتم استهداف عملاء Microsoft Exchange Server من خلال موجة من هجمات برامج الفدية التي تنفذها شركة Hive، منصة معروفة لبرامج الفدية كخدمة (RaaS) تستهدف الشركات وجميع أنواع المؤسسات.
يستفيد الهجوم من مجموعة من نقاط الضعف في Microsoft Exchange Server المعروفة باسم ProxyShell. هذه ثغرة أمنية خطيرة في تنفيذ التعليمات البرمجية عن بعد والتي تسمح للمهاجمين بتشغيل التعليمات البرمجية على الأنظمة المتأثرة عن بعد. على الرغم من أنه تم تصحيح الثغرات الأمنية الثلاث تحت مظلة ProxyShell اعتبارًا من مايو 2021، فمن المعروف أن العديد من الشركات لا تقوم بتحديث برامجها بالقدر الذي ينبغي. على هذا النحو، تأثر العديد من العملاء، بما في ذلك العميل الذي تحدث إلى فريق الطب الشرعي في فارونيس، الذي أبلغ لأول مرة عن هذه الهجمات.
بمجرد استغلال ثغرات ProxyShell، يقوم المهاجمون بزرع برنامج نصي ويب مستتر في دليل عام على خادم Exchange المستهدف. يقوم هذا البرنامج النصي بعد ذلك بتشغيل التعليمات البرمجية الضارة المطلوبة، والتي تقوم بعد ذلك بتنزيل ملفات Stager إضافية من خادم الأوامر والتحكم وتنفيذها. يقوم المهاجمون بعد ذلك بإنشاء مسؤول نظام جديد واستخدام Mimikatz لسرقة تجزئة NTLM، والتي يسمح لهم بالتحكم في النظام دون معرفة كلمات مرور أي شخص من خلال تمرير التجزئة تقنية.
بعد أن أصبح كل شيء في مكانه الصحيح، يبدأ الممثلون ذوو النوايا السيئة في فحص الشبكة بأكملها بحثًا عن الملفات الحساسة والتي يحتمل أن تكون مهمة. وأخيرًا، يتم إنشاء حمولة مخصصة - وهو ملف يُسمى بشكل خادع Windows.exe - ونشره لتشفير كافة الملفات. البيانات، بالإضافة إلى مسح سجلات الأحداث، وحذف النسخ الاحتياطية، وتعطيل حلول الأمان الأخرى حتى تظل موجودة غير مكتشفة. بمجرد تشفير جميع البيانات، تعرض الحمولة تحذيرًا للمستخدمين تحثهم على الدفع لاستعادة بياناتهم والحفاظ عليها آمنة.
الطريقة التي تعمل بها Hive هي أنها لا تقوم فقط بتشفير البيانات وطلب فدية لإعادتها. تدير المجموعة أيضًا موقعًا إلكترونيًا يمكن الوصول إليه عبر متصفح Tor، حيث يمكن مشاركة البيانات الحساسة للشركات إذا لم توافق على الدفع. وهذا يخلق حاجة ملحة إضافية للضحايا الذين يريدون أن تظل البيانات المهمة سرية.
وفقًا لتقرير فريق الطب الشرعي في فارونيس، فقد استغرق الأمر أقل من 72 ساعة من الاستغلال الأولي للملف ثغرة أمنية في Microsoft Exchange Server تجعل المهاجمين يصلون في النهاية إلى هدفهم المنشود، بشكل خاص قضية.
إذا كانت مؤسستك تعتمد على Microsoft Exchange Server، فستحتاج إلى التأكد من تثبيت أحدث التصحيحات لتظل محميًا من هذه الموجة من هجمات برامج الفدية. إنها فكرة جيدة بشكل عام أن تظل على اطلاع قدر الإمكان مع الأخذ في الاعتبار وجود نقاط الضعف في كثير من الأحيان يتم الكشف عنها بعد إصدار التصحيحات، مما يترك الأنظمة القديمة مفتوحة للمهاجمين هدف.
مصدر: فارونيس
عبر: زد نت