Společnosti používající zastaralé verze Microsoft Exchange Server jsou vydírány prostřednictvím nového ransomwarového útoku koordinovaného společností Hive.
Každý druhý den to vypadá, jako by se o nějakém objevily zprávy hlavní bezpečnostní problém na produktu společnosti Microsofta dnes se zdá, že Microsoft Exchange Server je v centru jiného. Zákazníci Microsoft Exchange Server jsou terčem vlny ransomwarových útoků prováděných společností Hive, dobře známá platforma ransomware-as-a-service (RaaS), která se zaměřuje na podniky a všechny druhy organizací.
Útok využívá sadu zranitelností v Microsoft Exchange Server známé jako ProxyShell. Toto je kritická chyba zabezpečení umožňující vzdálené spuštění kódu, která útočníkům umožňuje vzdáleně spouštět kód na postižených systémech. I když byly tři zranitelnosti pod deštníkem ProxyShell opraveny v květnu 2021, je dobře známo, že mnoho firem neaktualizuje svůj software tak často, jak by mělo. Jako takoví jsou postiženi různí zákazníci, včetně jednoho, který mluvil s Forenzním týmem Varonis, který o těchto útocích jako první informoval.
Jakmile útočníci zneužijí zranitelnosti prostředí ProxyShell, umístí backdoor webový skript do veřejného adresáře na cílovém serveru Exchange. Tento skript poté spustí požadovaný škodlivý kód, který pak stáhne další soubory stager z příkazového a řídicího serveru a spustí je. Útočníci poté vytvoří nového správce systému a pomocí Mimikatz ukradnou NTLM hash, který umožňuje jim převzít kontrolu nad systémem, aniž by znali něčí hesla prostřednictvím pass-the-hash technika.
Když je vše na svém místě, začnou nešťastní aktéři prohledávat celou síť a hledat citlivé a potenciálně důležité soubory. Nakonec se vytvoří a nasadí vlastní datová část – soubor podvodně nazvaný Windows.exe – za účelem šifrování všech data a také vymazat protokoly událostí, odstranit stínové kopie a deaktivovat další bezpečnostní řešení, aby zůstala zachována nezjištěno. Jakmile jsou všechna data zašifrována, užitečné zatížení zobrazí uživatelům varování, které je vyzývá, aby zaplatili, aby získali svá data zpět a uchovali je v bezpečí.
Způsob, jakým Hive funguje, spočívá v tom, že nejenom šifruje data a nežádá o výkupné, aby je vrátil. Skupina také provozuje webovou stránku přístupnou přes prohlížeč Tor, kde lze sdílet citlivá data společností, pokud nesouhlasí s platbou. To vytváří další naléhavost pro oběti, které chtějí, aby důležitá data zůstala důvěrná.
Podle zprávy Forensics Teamu Varonis to trvalo méně než 72 hodin od počátečního využití Zranitelnost Microsoft Exchange Server k tomu, aby se útočníci nakonec dostali k požadovanému cíli, v jednom konkrétním případě pouzdro.
Pokud vaše organizace spoléhá na Microsoft Exchange Server, budete se chtít ujistit, že máte nainstalované nejnovější opravy, abyste zůstali chráněni před touto vlnou ransomwarových útoků. Obecně je dobré zůstat co nejvíce aktuální vzhledem k častým zranitelnostem odhaleno po vydání záplat, takže útočníkům zůstaly neaktuální systémy otevřené cílová.
Zdroj: Varonis
Přes: ZDNet