Le aziende che utilizzano versioni obsolete di Microsoft Exchange Server subiscono estorsioni attraverso un nuovo attacco ransomware coordinato da Hive.
A giorni alterni, sembra che ci sia una notizia su alcuni importante problema di sicurezza su un prodotto Microsoft, e oggi sembra che Exchange Server di Microsoft sia al centro di un altro. I clienti di Microsoft Exchange Server sono presi di mira da un'ondata di attacchi ransomware effettuati da Hive, una nota piattaforma ransomware-as-a-service (RaaS) rivolta alle aziende e a tutti i tipi di organizzazioni.
L'attacco sfrutta una serie di vulnerabilità in Microsoft Exchange Server note come ProxyShell. Si tratta di una vulnerabilità critica legata all'esecuzione di codice in modalità remota che consente agli aggressori di eseguire codice sui sistemi interessati in modalità remota. Sebbene le tre vulnerabilità sotto l'egida di ProxyShell siano state corrette a partire da maggio 2021, è noto che molte aziende non aggiornano il proprio software così spesso come dovrebbero. Pertanto, sono stati colpiti diversi clienti, incluso uno che ha parlato con il team Forensics di Varonis, che per primo ha segnalato questi attacchi.
Dopo aver sfruttato le vulnerabilità di ProxyShell, gli aggressori inseriscono uno script web backdoor in una directory pubblica sul server Exchange preso di mira. Questo script esegue quindi il codice dannoso desiderato, che poi scarica ulteriori file stager da un server di comando e controllo e li esegue. Gli aggressori creano quindi un nuovo amministratore di sistema e utilizzano Mimikatz per rubare l'hash NTLM, che consente loro di prendere il controllo del sistema senza conoscere le password di nessuno attraverso un pass-the-hash tecnica.
Una volta che tutto è a posto, gli attori malintenzionati iniziano a scansionare l'intera rete alla ricerca di file sensibili e potenzialmente importanti. Infine, viene creato e distribuito un payload personalizzato, un file chiamato ingannevolmente Windows.exe, per crittografare tutti i dati, nonché cancellare i registri eventi, eliminare le copie shadow e disabilitare altre soluzioni di sicurezza in modo che rimangano inosservato. Una volta crittografati tutti i dati, il payload visualizza un avviso per gli utenti che li invita a pagare per riavere i propri dati e tenerli al sicuro.
Il modo in cui opera Hive non si limita a crittografare i dati e chiedere un riscatto per restituirli. Il gruppo gestisce anche un sito web accessibile tramite il browser Tor, dove i dati sensibili delle aziende possono essere condivisi se non accettano di pagare. Ciò crea un’ulteriore urgenza per le vittime che desiderano che i dati importanti rimangano riservati.
Secondo il rapporto del Varonis Forensics Team, sono trascorse meno di 72 ore dallo sfruttamento iniziale del La vulnerabilità di Microsoft Exchange Server consente agli aggressori di raggiungere l'obiettivo desiderato, in un particolare caso.
Se la tua organizzazione si affida a Microsoft Exchange Server, ti consigliamo di assicurarti di avere installato le patch più recenti per rimanere protetto da questa ondata di attacchi ransomware. In genere è una buona idea rimanere il più aggiornati possibile considerando che le vulnerabilità sono frequenti rivelato dopo il rilascio delle patch, lasciando i sistemi obsoleti allo scoperto per gli aggressori bersaglio.
Fonte: Varoni
Attraverso: ZDNet