A Microsoft Exchange Server elavult verzióit használó cégeket a Hive által koordinált új zsarolóvírus-támadással zsarolják ki.
Minden második nap úgy tűnik, hogy van hír egyesekről jelentős biztonsági probléma egy Microsoft termékkel kapcsolatban, és ma úgy tűnik, hogy a Microsoft Exchange Server egy másik szerver középpontjában áll. A Microsoft Exchange Server ügyfeleit a Hive által végrehajtott zsarolóvírus-támadások hulláma célozza meg, egy jól ismert ransomware-as-a-service (RaaS) platform, amely vállalkozásokat és mindenféle szervezetet céloz meg.
A támadás a Microsoft Exchange Server ProxyShell néven ismert sebezhetőségeit használja fel. Ez egy kritikus távoli kódfuttatási biztonsági rés, amely lehetővé teszi a támadók számára, hogy távolról kódot futtatjanak az érintett rendszereken. Míg a ProxyShell ernyője alá tartozó három sebezhetőséget 2021 májusában javították ki, köztudott, hogy sok vállalkozás nem frissíti olyan gyakran a szoftverét, mint kellene. Ennek megfelelően számos ügyfelet érintenek, köztük azt is, aki beszélt a Varonis Forensics Team-tel, akik először számoltak be ezekről a támadásokról.
Miután kihasználták a ProxyShell sebezhetőségét, a támadók egy hátsó ajtó webszkriptet helyeznek el a megcélzott Exchange-kiszolgáló nyilvános könyvtárába. Ez a szkript ezután lefuttatja a kívánt rosszindulatú kódot, amely ezután további stager fájlokat tölt le egy parancs- és vezérlőkiszolgálóról, és végrehajtja azokat. A támadók ezután új rendszergazdát hoznak létre, és a Mimikatz segítségével ellopják az NTLM hash-t, ami lehetővé teszi számukra, hogy átvegyék az irányítást a rendszer felett anélkül, hogy bárki jelszavát is ismernék egy pass-the-hash segítségével technika.
Ha minden a helyén van, a rossz szándékú szereplők elkezdik átvizsgálni az egész hálózatot érzékeny és potenciálisan fontos fájlok után. Végül létrejön egy egyéni hasznos adat – egy megtévesztően Windows.exe nevű fájl – és kerül telepítésre az összes adatok, valamint eseménynaplók törlése, árnyékmásolatok törlése és egyéb biztonsági megoldások letiltása, hogy azok megmaradjanak észrevétlen. Az összes adat titkosítása után a rakomány figyelmeztetést jelenít meg a felhasználók számára, és felszólítja őket, hogy fizessenek, hogy visszakapják adataikat és megőrizzék azokat.
A Hive működése az, hogy nem csak titkosítja az adatokat, és váltságdíjat kér, hogy visszaadja azokat. A csoport egy Tor böngészőn keresztül elérhető weboldalt is üzemeltet, ahol a cégek érzékeny adatait megoszthatják, ha nem vállalják a fizetést. Ez további sürgősséget okoz azoknak az áldozatoknak, akik azt szeretnék, hogy a fontos adatok bizalmasak maradjanak.
A Varonis Forensics Team jelentése szerint kevesebb mint 72 órába telt a A Microsoft Exchange Server sebezhetősége a támadók számára, hogy végül elérjék a kívánt célt, egy konkrét esetben ügy.
Ha szervezete a Microsoft Exchange Server-re támaszkodik, érdemes megbizonyosodnia arról, hogy telepítve van a legújabb javítások, hogy megvédje magát a zsarolóvírus-támadások hullámától. Általában jó ötlet a lehető legfrissebb információkhoz maradni, mivel gyakran előfordulnak a sebezhetőségek. a javítások kiadása után derül ki, így az elavult rendszereket a támadók szabadon hagyhatják cél.
Forrás: Varonis
Keresztül: ZDNet