Unternehmen, die veraltete Versionen von Microsoft Exchange Server verwenden, werden durch einen neuen, von Hive koordinierten Ransomware-Angriff erpresst.
Jeden zweiten Tag scheint es, als gäbe es eine Nachricht über einige großes Sicherheitsproblem bei einem Microsoft-Produkt, und heute scheint es, als ob der Exchange Server von Microsoft im Mittelpunkt eines anderen steht. Kunden von Microsoft Exchange Server sind das Ziel einer Welle von Ransomware-Angriffen von Hive. eine bekannte Ransomware-as-a-Service (RaaS)-Plattform, die auf Unternehmen und alle Arten von Organisationen abzielt.
Der Angriff nutzt eine Reihe von Schwachstellen in Microsoft Exchange Server namens ProxyShell aus. Hierbei handelt es sich um eine kritische Sicherheitslücke bei der Remotecodeausführung, die es Angreifern ermöglicht, Code auf betroffenen Systemen aus der Ferne auszuführen. Obwohl die drei Schwachstellen unter dem ProxyShell-Dach im Mai 2021 behoben wurden, ist bekannt, dass viele Unternehmen ihre Software nicht so oft aktualisieren, wie sie sollten. Daher sind verschiedene Kunden betroffen, darunter einer, der mit dem Varonis Forensics Team gesprochen hat, das zuerst über diese Angriffe berichtet hat.
Nachdem die Angreifer die ProxyShell-Schwachstellen ausgenutzt haben, platzieren sie ein Backdoor-Webskript in einem öffentlichen Verzeichnis auf dem anvisierten Exchange-Server. Dieses Skript führt dann den gewünschten Schadcode aus, der dann weitere Stager-Dateien von einem Command-and-Control-Server herunterlädt und ausführt. Anschließend erstellen die Angreifer einen neuen Systemadministrator und stehlen mit Mimikatz den NTLM-Hash ermöglicht es ihnen, durch Pass-the-Hash die Kontrolle über das System zu übernehmen, ohne die Passwörter anderer zu kennen Technik.
Sobald alles vorhanden ist, beginnen die böswilligen Akteure damit, das gesamte Netzwerk nach sensiblen und potenziell wichtigen Dateien zu durchsuchen. Schließlich wird eine benutzerdefinierte Nutzlast – eine Datei mit dem täuschenden Namen „Windows.exe“ – erstellt und bereitgestellt, um alles zu verschlüsseln Daten sowie Ereignisprotokolle löschen, Schattenkopien löschen und andere Sicherheitslösungen deaktivieren, damit sie erhalten bleiben unentdeckt. Sobald alle Daten verschlüsselt sind, zeigt die Nutzlast den Benutzern eine Warnung an, in der sie aufgefordert werden, zu zahlen, um ihre Daten zurückzubekommen und sie sicher aufzubewahren.
Die Funktionsweise von Hive besteht darin, dass es nicht nur Daten verschlüsselt und ein Lösegeld für die Rückgabe verlangt. Die Gruppe betreibt außerdem eine über den Tor-Browser zugängliche Website, auf der vertrauliche Daten von Unternehmen weitergegeben werden können, wenn diese nicht zur Zahlung bereit sind. Dies erhöht die Dringlichkeit für Opfer, die möchten, dass wichtige Daten vertraulich bleiben.
Laut dem Bericht des Varonis Forensics Teams vergingen seit der ersten Ausnutzung des Angriffs weniger als 72 Stunden In einem Fall wird die Schwachstelle des Microsoft Exchange Servers dazu genutzt, dass die Angreifer letztendlich ihr gewünschtes Ziel erreichen Fall.
Wenn Ihr Unternehmen auf Microsoft Exchange Server angewiesen ist, sollten Sie sicherstellen, dass Sie die neuesten Patches installiert haben, um vor dieser Welle von Ransomware-Angriffen geschützt zu bleiben. Im Allgemeinen ist es eine gute Idee, so aktuell wie möglich zu bleiben, da Schwachstellen häufig auftreten werden nach der Veröffentlichung von Patches aufgedeckt, sodass veraltete Systeme für Angreifer offen bleiben Ziel.
Quelle: Varonis
Über: ZDNet