Perusahaan yang menggunakan Microsoft Exchange Server versi lama diperas melalui serangan ransomware baru yang dikoordinasikan oleh Hive.
Setiap hari, sepertinya ada berita tentang beberapa hal masalah keamanan utama pada produk Microsoft, dan saat ini, sepertinya Microsoft Exchange Server menjadi pusat dari server lainnya. Pelanggan Microsoft Exchange Server menjadi sasaran gelombang serangan ransomware yang dilakukan oleh Hive, platform ransomware-as-a-service (RaaS) terkenal yang menargetkan bisnis dan semua jenis organisasi.
Serangan ini memanfaatkan serangkaian kerentanan di Microsoft Exchange Server yang dikenal sebagai ProxyShell. Ini adalah kerentanan eksekusi kode jarak jauh yang penting yang memungkinkan penyerang menjalankan kode pada sistem yang terpengaruh dari jarak jauh. Meskipun ketiga kerentanan di bawah payung ProxyShell telah ditambal pada Mei 2021, diketahui bahwa banyak bisnis tidak memperbarui perangkat lunak mereka sesering yang seharusnya. Oleh karena itu, berbagai pelanggan terkena dampaknya, termasuk salah satu pelanggan yang berbicara dengan Tim Forensik Varonis, yang pertama kali melaporkan serangan ini.
Setelah mengeksploitasi kerentanan ProxyShell, penyerang memasang skrip web pintu belakang pada direktori publik di server Exchange yang ditargetkan. Skrip ini kemudian menjalankan kode berbahaya yang diinginkan, yang kemudian mengunduh file stager tambahan dari server perintah dan kontrol dan mengeksekusinya. Penyerang kemudian membuat administrator sistem baru dan menggunakan Mimikatz untuk mencuri hash NTLM memungkinkan mereka untuk mengambil kendali sistem tanpa mengetahui kata sandi siapa pun melalui pass-the-hash teknik.
Dengan segala sesuatunya sudah siap, pelaku yang bermaksud jahat mulai memindai seluruh jaringan untuk mencari file sensitif dan berpotensi penting. Terakhir, muatan khusus - sebuah file yang disebut Windows.exe - dibuat dan disebarkan untuk mengenkripsi semua file tersebut data, serta menghapus log peristiwa, menghapus salinan bayangan, dan menonaktifkan solusi keamanan lainnya agar tetap ada tanpa diketahui. Setelah semua data dienkripsi, payload menampilkan peringatan kepada pengguna yang mendesak mereka membayar untuk mendapatkan kembali data mereka dan menjaganya tetap aman.
Cara kerja Hive adalah tidak hanya mengenkripsi data dan meminta uang tebusan untuk mengembalikannya. Kelompok ini juga mengoperasikan situs web yang dapat diakses melalui browser Tor, dimana data sensitif perusahaan dapat dibagikan jika mereka tidak setuju untuk membayar. Hal ini menciptakan urgensi tambahan bagi para korban yang menginginkan data penting tetap dirahasiakan.
Menurut laporan Tim Forensik Varonis, dibutuhkan waktu kurang dari 72 jam sejak awal eksploitasi Kerentanan Microsoft Exchange Server terhadap penyerang pada akhirnya mencapai tujuan yang mereka inginkan, khususnya kasus.
Jika organisasi Anda mengandalkan Microsoft Exchange Server, pastikan Anda telah menginstal patch terbaru agar tetap terlindungi dari gelombang serangan ransomware ini. Biasanya merupakan ide bagus untuk tetap up-to-date mengingat kerentanan sering terjadi terungkap setelah patch dikeluarkan, sehingga sistem yang sudah ketinggalan zaman terbuka bagi penyerang untuk melakukannya target.
Sumber: Varonis
Melalui: ZDNet