Microsoft Exchange Serveri aegunud versioone kasutavaid ettevõtteid pressitakse välja uue lunavararünnakuga, mida koordineerib Hive.
Ülepäeviti tundub, et mõnest on mingi uudis Microsofti toote suur turbeprobleem, ja täna tundub, et Microsofti Exchange Server on teise serveri keskmes. Microsoft Exchange Serveri kliendid on suunatud Hive'i lunavararünnakute lainele, tuntud lunavara-teenusena (RaaS) platvorm, mis on suunatud ettevõtetele ja kõikvõimalikele organisatsioonidele.
Rünnak kasutab Microsoft Exchange Serveri turvaaukude komplekti, mida nimetatakse ProxyShelliks. See on kriitiline koodi kaugkäitamise haavatavus, mis võimaldab ründajatel mõjutatud süsteemides koodi kaugjuhtimisega käivitada. Kuigi kolm ProxyShelli turvaauku parandati 2021. aasta mais, on hästi teada, et paljud ettevõtted ei värskenda oma tarkvara nii sageli kui vaja. Seetõttu on mõjutatud mitmed kliendid, sealhulgas üks, kes rääkis Varonise kohtuekspertiisi meeskonnaga, kes neist rünnakutest esimest korda teatas.
Kui ründajad on ProxyShelli haavatavused ära kasutanud, istutavad ründajad sihitud Exchange'i serveri avalikku kataloogi tagaukse veebiskripti. See skript käivitab seejärel soovitud pahatahtliku koodi, mis seejärel laadib käsu- ja juhtimisserverist alla täiendavad etapifailid ja käivitab need. Seejärel loovad ründajad uue süsteemiadministraatori ja kasutavad Mimikatzi, et varastada NTLM-räsi, mis võimaldab neil läbi pass-the-räsi süsteemi üle kontrolli haarata, teadmata kellegi paroole tehnikat.
Kui kõik on paigas, hakkavad pahatahtlikud näitlejad kogu võrku tundlike ja potentsiaalselt olulisi faile otsima. Lõpuks luuakse kohandatud kasulik koormus – fail, mida nimetatakse petlikult nimega Windows.exe – ja see juurutatakse kõigi failide krüptimiseks. andmeid, samuti sündmuste logide tühjendamiseks, varikoopiate kustutamiseks ja muude turvalahenduste keelamiseks, et see jääks alles avastamata. Kui kõik andmed on krüptitud, kuvab kasulik koormus kasutajatele hoiatuse, mis kutsub neid üles maksma, et oma andmed tagasi saada ja neid turvaliselt hoida.
Taru toimimisviis on see, et see ei krüpteeri ainult andmeid ega küsi nende tagastamiseks lunaraha. Grupp haldab ka Tor-brauseri kaudu ligipääsetavat veebisaiti, kus saab jagada ettevõtete tundlikke andmeid, kui nad ei nõustu maksma. See muudab ohvrite jaoks kiireloomuliseks, kes soovivad, et olulised andmed jääksid konfidentsiaalseks.
Varonise kohtuekspertiisimeeskonna aruande kohaselt kulus alates esmasest kasutamisest alla 72 tunni. Microsoft Exchange Serveri haavatavus, et ründajad jõuavad lõpuks soovitud eesmärgini juhtum.
Kui teie organisatsioon tugineb Microsoft Exchange Serverile, peaksite veenduma, et teil on installitud uusimad paigad, et olla kaitstud selle lunavararünnakute laine eest. Üldiselt on hea mõte olla võimalikult kursis, kuna haavatavused on sageli ilmneb pärast plaastrite väljaandmist, jättes ründajatele avatuks aegunud süsteemid sihtmärk.
Allikas: Varonis
Läbi: ZDNet