Компаниите, използващи остарели версии на Microsoft Exchange Server, са изнудвани чрез нова ransomware атака, координирана от Hive.
Всеки друг ден изглежда, че има новина за някои сериозен проблем със сигурността на продукт на Microsoft, а днес изглежда, че Exchange Server на Microsoft е в центъра на друг. Клиентите на Microsoft Exchange Server са насочени към вълна от ransomware атаки, извършвани от Hive, добре позната платформа за рансъмуер като услуга (RaaS), която е насочена към бизнеси и всякакви организации.
Атаката използва набор от уязвимости в Microsoft Exchange Server, известни като ProxyShell. Това е критична уязвимост при дистанционно изпълнение на код, която позволява на атакуващите да изпълняват код на засегнатите системи от разстояние. Въпреки че трите уязвимости под шапката на ProxyShell бяха коригирани към май 2021 г., добре известно е, че много фирми не актуализират своя софтуер толкова често, колкото би трябвало. По този начин различни клиенти са засегнати, включително един, който е говорил с екипа на Varonis Forensics, който пръв докладва за тези атаки.
След като се възползват от уязвимостите на ProxyShell, нападателите поставят заден уеб скрипт в публична директория на целевия Exchange сървър. След това този скрипт изпълнява желания злонамерен код, който след това изтегля допълнителни файлове от команден и контролен сървър и ги изпълнява. След това нападателите създават нов системен администратор и използват Mimikatz, за да откраднат NTLM хеша, който позволява им да поемат контрола над системата, без да знаят нечии пароли чрез pass-the-hash техника.
След като всичко е на мястото си, злонамерените участници започват да сканират цялата мрежа за чувствителни и потенциално важни файлове. И накрая, потребителски полезен товар - файл, измамно наречен Windows.exe - се създава и внедрява, за да шифрова всички данни, както и изчистване на регистрационни файлове на събития, изтриване на скрити копия и деактивиране на други решения за сигурност, така че да остане неоткрит. След като всички данни са криптирани, полезният товар показва предупреждение към потребителите, призовавайки ги да платят, за да получат данните си обратно и да ги запазят в безопасност.
Начинът, по който работи Hive, е, че не просто криптира данни и иска откуп, за да ги върне. Групата също управлява уебсайт, достъпен чрез браузъра Tor, където чувствителните данни на компаниите могат да бъдат споделяни, ако те не са съгласни да платят. Това създава допълнителна спешност за жертвите, които искат важните данни да останат поверителни.
Според доклада на екипа по криминалистика на Varonis са отнели под 72 часа от първоначалната експлоатация на Уязвимост на Microsoft Exchange Server за нападателите, които в крайна сметка достигат до желаната от тях цел, в една част случай.
Ако вашата организация разчита на Microsoft Exchange Server, ще искате да се уверите, че имате инсталирани най-новите кръпки, за да останете защитени от тази вълна от ransomware атаки. Като цяло е добра идея да бъдете възможно най-актуални, като се има предвид, че уязвимостите често са разкрити след издаването на корекции, оставяйки остарелите системи на открито за нападателите мишена.
източник: Варонис
Чрез: ZDNet