Microsoft Exchange Serverin vanhentuneita versioita käyttäviä yrityksiä kiristetään Hiven koordinoimalla uudella kiristysohjelmahyökkäyksellä.
Joka toinen päivä näyttää siltä, että jostain on uutinen merkittävä tietoturvaongelma Microsoft-tuotteessa, ja nykyään näyttää siltä, että Microsoftin Exchange Server on toisen keskipisteenä. Hiven toteuttama kiristysohjelmahyökkäysten aalto joutuu Microsoft Exchange Server -asiakkaiden kohteeksi. tunnettu ransomware-as-a-service (RaaS) -alusta, joka on suunnattu yrityksille ja kaikenlaisille organisaatioille.
Hyökkäys hyödyntää Microsoft Exchange Serverin haavoittuvuuksia, jotka tunnetaan nimellä ProxyShell. Tämä on kriittinen koodin etäsuorittamisen haavoittuvuus, jonka avulla hyökkääjät voivat suorittaa koodia järjestelmissä, joita asia koskee. Vaikka kolme ProxyShell-sateenvarjon haavoittuvuutta korjattiin toukokuussa 2021, on tunnettua, että monet yritykset eivät päivitä ohjelmistojaan niin usein kuin niiden pitäisi. Se vaikuttaa useisiin asiakkaisiin, mukaan lukien yksi, joka puhui Varonis Forensics Teamille, joka raportoi ensimmäisenä näistä hyökkäyksistä.
Kun hyökkääjät ovat hyödyntäneet ProxyShell-haavoittuvuuksia, he asettavat takaoven web-komentosarjan kohteena olevan Exchange-palvelimen julkiseen hakemistoon. Tämä komentosarja suorittaa sitten halutun haitallisen koodin, joka sitten lataa lisää vaiheittaisia tiedostoja komento- ja ohjauspalvelimelta ja suorittaa ne. Hyökkääjät luovat sitten uuden järjestelmänvalvojan ja varastavat Mimikatzin NTLM-tiivisteen, mikä avulla he voivat ottaa järjestelmän hallintaan tietämättä kenenkään salasanoja pass-the-hash-toiminnon kautta tekniikka.
Kun kaikki on paikallaan, pahantahtoiset toimijat alkavat etsiä koko verkkoa arkaluonteisten ja mahdollisesti tärkeiden tiedostojen varalta. Lopuksi luodaan mukautettu hyötykuorma - tiedosto, jota kutsutaan harhaanjohtavasti Windows.exe -tiedostoksi ja otetaan käyttöön kaikkien tiedostojen salaamiseksi. tiedot sekä tapahtumalokien tyhjennys, varjokopioiden poistaminen ja muiden suojausratkaisujen poistaminen käytöstä, jotta se pysyy havaitsematta. Kun kaikki tiedot on salattu, hyötykuorma näyttää käyttäjille varoituksen, joka kehottaa heitä maksamaan saadakseen tietonsa takaisin ja pitämään ne turvassa.
Hiven toimintatapa on se, että se ei vain salaa tietoja ja pyydä lunnaita palauttaakseen sen. Ryhmällä on myös Tor-selaimen kautta avattava verkkosivusto, jonne voidaan jakaa yritysten arkaluontoisia tietoja, jos ne eivät suostu maksamaan. Tämä lisää kiireellisyyttä uhreille, jotka haluavat tärkeän tiedon pysyvän luottamuksellisina.
Varonis Forensics Teamin raportin mukaan kesti alle 72 tuntia sen alkuperäisestä hyödyntämisestä. Microsoft Exchange Serverin haavoittuvuus, jossa hyökkääjät pääsevät lopulta haluttuun tavoitteeseensa tapaus.
Jos organisaatiosi käyttää Microsoft Exchange Serveriä, sinun kannattaa varmistaa, että sinulla on uusimmat korjaustiedostot asennettuna pysyäksesi suojassa tältä kiristysohjelmahyökkäysten aallolta. Yleensä on hyvä idea pysyä mahdollisimman ajan tasalla, koska haavoittuvuudet ovat usein paljastetaan korjaustiedostojen julkaisemisen jälkeen, jolloin vanhentuneet järjestelmät jäävät hyökkääjien nähtäville kohde.
Lähde: Varonis
Kautta: ZDNet