Εταιρείες που χρησιμοποιούν παλιές εκδόσεις του Microsoft Exchange Server εκβιάζονται μέσω μιας νέας επίθεσης ransomware που συντονίζει η Hive.
Κάθε δεύτερη μέρα, φαίνεται ότι υπάρχει μια είδηση για κάποιους σημαντικό ζήτημα ασφαλείας σε ένα προϊόν της Microsoft, και σήμερα, φαίνεται ότι ο Exchange Server της Microsoft βρίσκεται στο επίκεντρο ενός άλλου. Οι πελάτες του Microsoft Exchange Server στοχοποιούνται από ένα κύμα επιθέσεων ransomware που πραγματοποιεί η Hive, μια πολύ γνωστή πλατφόρμα ransomware-as-a-service (RaaS) που στοχεύει επιχειρήσεις και κάθε είδους οργανισμούς.
Η επίθεση αξιοποιεί ένα σύνολο ευπαθειών στον Microsoft Exchange Server γνωστό ως ProxyShell. Αυτή είναι μια κρίσιμη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα που επιτρέπει στους εισβολείς να εκτελούν κώδικα σε συστήματα που επηρεάζονται από απόσταση. Ενώ τα τρία τρωτά σημεία κάτω από την ομπρέλα του ProxyShell διορθώθηκαν από τον Μάιο του 2021, είναι γνωστό ότι πολλές επιχειρήσεις δεν ενημερώνουν το λογισμικό τους όσο συχνά θα έπρεπε. Ως εκ τούτου, επηρεάζονται διάφοροι πελάτες, συμπεριλαμβανομένου ενός που μίλησε στην Ομάδα Εγκληματολογικών Ιατρών Βαρώνη, ο οποίος ανέφερε πρώτος για αυτές τις επιθέσεις.
Αφού εκμεταλλευτούν τα τρωτά σημεία του ProxyShell, οι εισβολείς εγκαθιστούν ένα σενάριο web backdoor σε έναν δημόσιο κατάλογο στον στοχευμένο διακομιστή Exchange. Στη συνέχεια, αυτό το σενάριο εκτελεί τον επιθυμητό κακόβουλο κώδικα, ο οποίος στη συνέχεια κατεβάζει πρόσθετα αρχεία σταδίου από έναν διακομιστή εντολών και ελέγχου και τα εκτέλεσε. Στη συνέχεια, οι εισβολείς δημιουργούν έναν νέο διαχειριστή συστήματος και χρησιμοποιούν το Mimikatz για να κλέψουν το κατακερματισμό NTLM, το οποίο τους επιτρέπει να αναλαμβάνουν τον έλεγχο του συστήματος χωρίς να γνωρίζουν τους κωδικούς πρόσβασης κανενός μέσω ενός pass-the-hash τεχνική.
Έχοντας τα πάντα στη θέση τους, οι κακοπροαίρετοι ηθοποιοί αρχίζουν να σαρώνουν ολόκληρο το δίκτυο για ευαίσθητα και δυνητικά σημαντικά αρχεία. Τέλος, ένα προσαρμοσμένο ωφέλιμο φορτίο - ένα αρχείο που ονομάζεται παραπλανητικά Windows.exe - δημιουργείται και αναπτύσσεται για την κρυπτογράφηση όλων των δεδομένα, καθώς και διαγραφή αρχείων καταγραφής συμβάντων, διαγραφή σκιωδών αντιγράφων και απενεργοποίηση άλλων λύσεων ασφαλείας ώστε να παραμείνει αποκαλυφθείς. Μόλις κρυπτογραφηθούν όλα τα δεδομένα, το ωφέλιμο φορτίο εμφανίζει μια προειδοποίηση στους χρήστες που τους προτρέπει να πληρώσουν για να πάρουν πίσω τα δεδομένα τους και να τα διατηρήσουν ασφαλή.
Ο τρόπος με τον οποίο λειτουργεί το Hive είναι ότι δεν κρυπτογραφεί απλώς δεδομένα και ζητά λύτρα για να τα επιστρέψει. Ο όμιλος λειτουργεί επίσης έναν ιστότοπο προσβάσιμο μέσω του προγράμματος περιήγησης Tor, όπου τα ευαίσθητα δεδομένα των εταιρειών μπορούν να κοινοποιηθούν εάν δεν συμφωνήσουν να πληρώσουν. Αυτό δημιουργεί μια επιπλέον επείγουσα ανάγκη για τα θύματα που θέλουν σημαντικά δεδομένα να παραμείνουν εμπιστευτικά.
Σύμφωνα με την έκθεση της Ομάδας Εγκληματολογίας Βαρώνη, χρειάστηκαν λιγότερο από 72 ώρες από την αρχική εκμετάλλευση του Ευπάθεια του Microsoft Exchange Server για τους εισβολείς που τελικά φτάσουν στον επιθυμητό στόχο τους, συγκεκριμένα υπόθεση.
Εάν ο οργανισμός σας βασίζεται στον Microsoft Exchange Server, θα πρέπει να βεβαιωθείτε ότι έχετε εγκαταστήσει τις πιο πρόσφατες ενημερώσεις κώδικα, προκειμένου να παραμείνετε προστατευμένοι από αυτό το κύμα επιθέσεων ransomware. Είναι γενικά καλή ιδέα να παραμένετε όσο το δυνατόν πιο ενημερωμένοι, λαμβάνοντας υπόψη ότι τα τρωτά σημεία είναι συχνά αποκαλύφθηκε μετά την έκδοση ενημερώσεων κώδικα, αφήνοντας τα ξεπερασμένα συστήματα ανοιχτά για τους εισβολείς στόχος.
Πηγή: Βαρώνης
Μέσω: ZDNet