Įmonės, naudojančios pasenusias „Microsoft Exchange Server“ versijas, yra išviliojamos per naują „Hive“ koordinuojamą „ransomware“ ataką.
Kas antrą dieną atrodo, kad yra naujienų apie kai kuriuos pagrindinė „Microsoft“ produkto saugumo problema, ir šiandien atrodo, kad Microsoft Exchange Server yra kito centre. „Microsoft Exchange Server“ klientai patenka į „Hive“ vykdomų „ransomware“ atakų bangą, gerai žinoma „ransomware-as-a-service“ (RaaS) platforma, skirta įmonėms ir visų rūšių organizacijoms.
Ataka panaudoja Microsoft Exchange Server pažeidžiamumą, žinomą kaip ProxyShell. Tai yra kritinis nuotolinio kodo vykdymo pažeidžiamumas, leidžiantis užpuolikams nuotoliniu būdu paleisti kodą paveiktose sistemose. Nors trys „ProxyShell“ pažeidžiamumai buvo pataisyti 2021 m. gegužės mėn., gerai žinoma, kad daugelis įmonių neatnaujina savo programinės įrangos taip dažnai, kaip turėtų. Dėl to nukenčia įvairūs klientai, įskaitant tą, kuris kalbėjosi su Varonio kriminalistikos komanda, kuri pirmoji pranešė apie šias atakas.
Išnaudoję „ProxyShell“ pažeidžiamumą, užpuolikai įkelia „backdoor“ žiniatinklio scenarijų viešajame tiksliniame „Exchange“ serverio kataloge. Tada šis scenarijus paleidžia norimą kenkėjišką kodą, kuris iš komandų ir valdymo serverio atsisiunčia papildomus pakopos failus ir juos vykdo. Tada užpuolikai sukuria naują sistemos administratorių ir naudoja Mimikatz, kad pavogtų NTLM maišą, kuri leidžia jiems perimti sistemos valdymą nežinant kieno nors slaptažodžių per maišos funkciją technika.
Viską sutvarkę, netinkami veikėjai pradeda nuskaityti visą tinklą, ieškodami jautrių ir potencialiai svarbių failų. Galiausiai sukuriamas ir įdiegiamas tinkintas naudingasis krovinys – failas, apgaulingai vadinamas Windows.exe, kad būtų užšifruotas visas duomenis, taip pat išvalyti įvykių žurnalus, ištrinti šešėlines kopijas ir išjungti kitus saugos sprendimus, kad jie liktų neaptikta. Kai visi duomenys yra užšifruoti, naudingoji apkrova rodo įspėjimą vartotojams, raginančius susimokėti, kad būtų atgauti duomenys ir jie būtų apsaugoti.
„Hive“ veikia taip, kad jis ne tik užšifruoja duomenis ir prašo išpirkos, kad juos grąžintų. Grupė taip pat valdo svetainę, pasiekiamą per „Tor“ naršyklę, kurioje gali būti dalijamasi neskelbtinais įmonių duomenimis, jei jos nesutinka mokėti. Dėl to aukoms, norinčioms, kad svarbūs duomenys išliktų konfidencialūs, dar labiau reikia skubėti.
Remiantis Varonio kriminalistikos komandos ataskaita, nuo pradinio eksploatavimo praėjo mažiau nei 72 valandos. „Microsoft Exchange Server“ pažeidžiamumas, kad užpuolikai galiausiai pasiekia norimą tikslą atveju.
Jei jūsų organizacija remiasi „Microsoft Exchange Server“, norėsite įsitikinti, kad įdiegėte naujausius pataisymus, kad apsisaugotumėte nuo šios išpirkos reikalaujančių atakų bangos. Paprastai yra gera idėja gauti kuo daugiau naujienų, nes dažnai yra pažeidžiamumų atskleidžiama po pataisų išleidimo, todėl pasenusios sistemos paliekamos atvirai užpuolikams taikinys.
Šaltinis: Varonis
Per: ZDNet