古いバージョンの Microsoft Exchange Server を使用している企業が、Hive が調整した新たなランサムウェア攻撃によって恐喝されています。
一日おきに、次のようなニュースが流れているようです。 Microsoft 製品の重大なセキュリティ問題、そして今日では、MicrosoftのExchange Serverが別のサーバーの中心になっているようです。 Microsoft Exchange Server の顧客は、Hive によって実行される一連のランサムウェア攻撃の標的となっています。 企業やあらゆる種類の組織を標的とする、よく知られたサービスとしてのランサムウェア (RaaS) プラットフォーム。
この攻撃は、ProxyShell として知られる Microsoft Exchange Server の一連の脆弱性を利用します。 これはリモートでコードが実行される重大な脆弱性であり、攻撃者が影響を受けるシステム上でコードをリモートで実行できるようになります。 ProxyShell の傘下にある 3 つの脆弱性は 2021 年 5 月の時点でパッチされましたが、多くの企業がソフトウェアを必要な頻度で更新していないことはよく知られています。 そのため、これらの攻撃について最初に報告した Varonis Forensics Team に話を聞いた顧客も含め、さまざまな顧客が影響を受けています。
ProxyShell の脆弱性を悪用した攻撃者は、標的の Exchange サーバー上のパブリック ディレクトリにバックドア Web スクリプトを埋め込みます。 次に、このスクリプトは目的の悪意のあるコードを実行し、コマンド アンド コントロール サーバーから追加のステージャー ファイルをダウンロードして実行します。 次に、攻撃者は新しいシステム管理者を作成し、Mimikatz を使用して NTLM ハッシュを盗みます。 ハッシュを渡すことで、他人のパスワードを知らなくてもシステムを制御できるようになります。 技術。
すべての準備が整うと、悪意のある攻撃者はネットワーク全体のスキャンを開始して、機密ファイルや潜在的に重要なファイルを探します。 最後に、カスタム ペイロード (Windows.exe と呼ばれるファイル) が作成され、展開され、すべてのファイルが暗号化されます。 データを消去するだけでなく、イベント ログをクリアし、シャドウ コピーを削除し、他のセキュリティ ソリューションを無効にして、データが残るようにします。 未検出。 すべてのデータが暗号化されると、ペイロードはユーザーに警告を表示し、データを取り戻して安全に保つために料金を支払うよう促します。
Hive の動作方法は、データを暗号化し、それを返すために身代金を要求するだけではありません。 このグループは、Tor ブラウザ経由でアクセスできる Web サイトも運営しており、企業が支払いに同意しない場合は、そこで機密データを共有できます。 そのため、重要なデータを秘密にしておきたい被害者にとっては、さらなる緊急性が生じます。
Varonis 法医学チームの報告書によると、最初の悪用から 72 時間もかかりませんでした。 Microsoft Exchange Server の脆弱性は、攻撃者にとって最終的には特定の目的を達成するのに役立ちます。 場合。
組織が Microsoft Exchange Server に依存している場合は、このランサムウェア攻撃の波から保護し続けるために、最新のパッチがインストールされていることを確認する必要があります。 脆弱性が頻繁に存在することを考慮すると、一般に、可能な限り最新の状態に保つことをお勧めします。 パッチが発行された後に明らかになり、古いシステムが攻撃者に公開されたままになります。 目標。
ソース: ヴァロニス
経由: ZDNet