Virksomheder, der bruger forældede versioner af Microsoft Exchange Server, bliver afpresset gennem et nyt ransomware-angreb koordineret af Hive.
Hver anden dag lader det til, at der er en nyhed om nogle stort sikkerhedsproblem på et Microsoft-produkt, og i dag ser det ud til, at Microsofts Exchange Server er i centrum for en anden. Microsoft Exchange Server-kunder bliver ramt af en bølge af ransomware-angreb udført af Hive, en velkendt ransomware-as-a-service (RaaS) platform, der retter sig mod virksomheder og alle slags organisationer.
Angrebet udnytter et sæt sårbarheder i Microsoft Exchange Server kendt som ProxyShell. Dette er en kritisk sårbarhed ved fjernudførelse af kode, som gør det muligt for angribere at køre kode på berørte systemer eksternt. Mens de tre sårbarheder under ProxyShell-paraplyen blev rettet i maj 2021, er det velkendt, at mange virksomheder ikke opdaterer deres software så ofte, som de burde. Som sådan bliver forskellige kunder berørt, herunder en, der talte med Varonis Forensics Team, som først rapporterede om disse angreb.
Efter at have udnyttet ProxyShell-sårbarhederne, planter angriberne et bagdørs-webscript på en offentlig mappe på den målrettede Exchange-server. Dette script kører derefter den ønskede ondsindede kode, som derefter downloader yderligere stager-filer fra en kommando- og kontrolserver og eksekverer dem. Angriberne opretter derefter en ny systemadministrator og bruger Mimikatz til at stjæle NTLM-hashen, som giver dem mulighed for at tage kontrol over systemet uden at kende nogens adgangskoder gennem en pass-the-hash teknik.
Med alt på plads begynder de dårligt tiltænkte aktører at scanne hele netværket for følsomme og potentielt vigtige filer. Endelig oprettes og implementeres en brugerdefineret nyttelast - en fil, der vildledende kaldes Windows.exe - for at kryptere alle data, samt rydde hændelseslogfiler, slette skyggekopier og deaktivere andre sikkerhedsløsninger, så det forbliver uopdaget. Når alle data er krypteret, viser nyttelasten en advarsel til brugerne, der opfordrer dem til at betale for at få deres data tilbage og holde dem sikre.
Den måde, Hive fungerer på, er, at den ikke bare krypterer data og beder om løsesum for at give dem tilbage. Koncernen driver også en hjemmeside, som er tilgængelig via Tor-browseren, hvor virksomheders følsomme data kan deles, hvis de ikke accepterer at betale. Det skaber en yderligere presserende stilling for ofre, der ønsker, at vigtige data skal forblive fortrolige.
Ifølge Varonis Forensics Teams rapport tog det under 72 timer fra den første udnyttelse af Microsoft Exchange Server sårbarhed over for angriberne i sidste ende at nå deres ønskede mål, i en bestemt sag.
Hvis din organisation er afhængig af Microsoft Exchange Server, vil du gerne sikre dig, at du har de nyeste patches installeret for at forblive beskyttet mod denne bølge af ransomware-angreb. Det er generelt en god idé at holde sig så opdateret som muligt, da sårbarheder ofte er afsløret efter at patches er blevet udstedt, hvilket efterlader forældede systemer åbent for angribere mål.
Kilde: Varonis
Via: ZDNet