משתמשי Microsoft Exchange Server ממוקדים על ידי מתקפת כופר כופר

תקציר חדשותNov 16, 2023

חברות המשתמשות בגרסאות מיושנות של Microsoft Exchange Server נסחטות באמצעות מתקפת כופר חדשה המתואמת על ידי Hive.

כל יומיים, זה נראה כאילו יש כתבה חדשותית על כמה בעיית אבטחה גדולה במוצר של Microsoft, והיום, נראה ששרת ה-Exchange של מיקרוסופט נמצא במרכזו של שרת אחר. לקוחות Microsoft Exchange Server ממוקדים על ידי גל התקפות כופר שבוצע על ידי Hive, פלטפורמת כופר כשירות (RaaS) ידועה המכוונת לעסקים ולכל מיני ארגונים.

ההתקפה ממנפת קבוצה של פגיעויות ב-Microsoft Exchange Server המכונה ProxyShell. זוהי פגיעות קריטית של ביצוע קוד מרחוק המאפשרת לתוקפים להריץ קוד במערכות מושפעות מרחוק. בעוד ששלוש נקודות התורפה תחת מטריית ProxyShell תוקנה החל ממאי 2021, ידוע שעסקים רבים לא מעדכנים את התוכנה שלהם בתדירות גבוהה כפי שהם צריכים. כתוצאה מכך, לקוחות שונים מושפעים, כולל אחד ששוחח עם צוות הזיהוי הפלילי של ורוניס, שדיווח לראשונה על התקפות אלו.

לאחר שניצלו את נקודות התורפה של ProxyShell, התוקפים שותלים סקריפט אינטרנט בדלת אחורית בספרייה ציבורית בשרת Exchange הממוקד. סקריפט זה מריץ את הקוד הזדוני הרצוי, שלאחר מכן מוריד קבצי stager נוספים משרת פקודות ובקרה ומוציא אותם לפועל. לאחר מכן, התוקפים יוצרים מנהל מערכת חדש ומשתמשים ב-Mimikatz כדי לגנוב את ה-NTLM hash, אשר מאפשרת להם להשתלט על המערכת מבלי לדעת את הסיסמאות של אף אחד דרך העבר-ה-hash טֶכנִיקָה.

כשהכל קיים, השחקנים בכוונות לא טובות מתחילים לסרוק את כל הרשת לאיתור קבצים רגישים ובעלי פוטנציאל חשוב. לבסוף, מטען מותאם אישית - קובץ שנקרא באופן מטעה Windows.exe - נוצר ונפרס כדי להצפין את כל נתונים, כמו גם נקה יומני אירועים, מחיקת עותקי צל, והשבתת פתרונות אבטחה אחרים כך שיישאר לא מזוהה. ברגע שכל הנתונים מוצפנים, המטען מציג אזהרה למשתמשים שקורא להם לשלם כדי להחזיר את הנתונים שלהם ולשמור עליהם.

הדרך שבה Hive פועלת היא שהיא לא רק מצפינה נתונים ומבקשת כופר כדי להחזיר אותם. הקבוצה גם מפעילה אתר אינטרנט נגיש דרך דפדפן Tor, שבו ניתן לשתף נתונים רגישים של חברות אם הן לא מסכימות לשלם. זה יוצר דחיפות נוספת לקורבנות שרוצים שמידע חשוב יישאר חסוי.

לפי הדו"ח של צוות הזיהוי הפלילי של ורוניס, חלפו פחות מ-72 שעות מהניצול הראשוני של פגיעות של Microsoft Exchange Server בפני התוקפים שמגיעים בסופו של דבר למטרה הרצויה שלהם, בפרט אחד מקרה.

אם הארגון שלך מסתמך על Microsoft Exchange Server, תרצה לוודא שיש לך את התיקונים העדכניים ביותר כדי להישאר מוגן מפני גל התקפות כופר זה. בדרך כלל מומלץ להישאר מעודכן ככל האפשר בהתחשב בנקודות תורפה נחשף לאחר הנפקת תיקונים, מה שמותיר מערכות לא מעודכנות בשטח פתוח לתוקפים יַעַד.

מָקוֹר: וארוניס

באמצעות: ZDNet