Les entreprises utilisant des versions obsolètes de Microsoft Exchange Server sont extorquées via une nouvelle attaque de ransomware coordonnée par Hive.
Tous les deux jours, on dirait qu'il y a un reportage sur certains problème de sécurité majeur sur un produit Microsoft, et aujourd'hui, il semble que le serveur Exchange de Microsoft soit au centre d'un autre. Les clients de Microsoft Exchange Server sont la cible d'une vague d'attaques de ransomware menées par Hive, une plateforme de ransomware-as-a-service (RaaS) bien connue qui cible les entreprises et toutes sortes d'organisations.
L'attaque exploite un ensemble de vulnérabilités de Microsoft Exchange Server connues sous le nom de ProxyShell. Il s’agit d’une vulnérabilité critique d’exécution de code à distance qui permet aux attaquants d’exécuter du code à distance sur les systèmes concernés. Bien que les trois vulnérabilités sous l'égide de ProxyShell aient été corrigées en mai 2021, il est bien connu que de nombreuses entreprises ne mettent pas à jour leurs logiciels aussi souvent qu'elles le devraient. Ainsi, plusieurs clients sont concernés, dont un qui a parlé à l’équipe médico-légale de Varonis, qui a été la première à signaler ces attaques.
Après avoir exploité les vulnérabilités de ProxyShell, les attaquants installent un script web de porte dérobée sur un répertoire public du serveur Exchange ciblé. Ce script exécute ensuite le code malveillant souhaité, qui télécharge ensuite des fichiers stager supplémentaires à partir d'un serveur de commande et de contrôle et les exécute. Les attaquants créent ensuite un nouvel administrateur système et utilisent Mimikatz pour voler le hachage NTLM, ce qui leur permet de prendre le contrôle du système sans connaître les mots de passe de qui que ce soit grâce à un passe-the-hash technique.
Une fois tout en place, les acteurs mal intentionnés commencent à analyser l’ensemble du réseau à la recherche de fichiers sensibles et potentiellement importants. Enfin, une charge utile personnalisée - un fichier appelé de manière trompeuse Windows.exe - est créée et déployée pour chiffrer tous les fichiers. données, ainsi qu'effacer les journaux d'événements, supprimer les clichés instantanés et désactiver d'autres solutions de sécurité afin qu'ils restent non détecté. Une fois toutes les données cryptées, la charge utile affiche un avertissement aux utilisateurs les invitant à payer pour récupérer leurs données et les conserver en sécurité.
La façon dont Hive fonctionne est qu'il ne se contente pas de crypter les données et de demander une rançon pour les restituer. Le groupe exploite également un site Internet accessible via le navigateur Tor, sur lequel les données sensibles des entreprises peuvent être partagées si elles n'acceptent pas de payer. Cela crée une urgence supplémentaire pour les victimes qui souhaitent que les données importantes restent confidentielles.
Selon le rapport de l'équipe médico-légale de Varonis, il a fallu moins de 72 heures depuis l'exploitation initiale du Vulnérabilité de Microsoft Exchange Server pour que les attaquants parviennent finalement à l'objectif souhaité, notamment cas.
Si votre organisation s'appuie sur Microsoft Exchange Server, vous devez vous assurer que les derniers correctifs sont installés afin de rester protégé contre cette vague d'attaques de ransomwares. C'est généralement une bonne idée de rester aussi à jour que possible étant donné que les vulnérabilités sont souvent révélé après la publication des correctifs, laissant les systèmes obsolètes à la portée des attaquants. cible.
Source: Varonis
Via: ZDNet