Uzņēmumi, kas izmanto novecojušas Microsoft Exchange Server versijas, tiek izspiesti, izmantojot jaunu izspiedējvīrusu uzbrukumu, ko koordinē Hive.
Katru otro dienu šķiet, ka par dažiem ir kāds jaunums galvenā Microsoft produkta drošības problēma, un šodien šķiet, ka Microsoft Exchange Server ir cita centrā. Microsoft Exchange Server klientus vērš Hive veikto izspiedējvīrusu uzbrukumu vilnis, plaši pazīstama ransomware-as-a-service (RaaS) platforma, kas paredzēta uzņēmumiem un visa veida organizācijām.
Uzbrukums izmanto Microsoft Exchange Server ievainojamību kopumu, kas pazīstams kā ProxyShell. Šī ir kritiska attālās koda izpildes ievainojamība, kas ļauj uzbrucējiem attālināti palaist kodu ietekmētajās sistēmās. Lai gan trīs ProxyShell ievainojamības tika izlabotas 2021. gada maijā, ir labi zināms, ka daudzi uzņēmumi neatjaunina programmatūru tik bieži, cik vajadzētu. Tādējādi tiek ietekmēti dažādi klienti, tostarp viens, kurš runāja ar Varonis kriminālistikas komandu, kas pirmo reizi ziņoja par šiem uzbrukumiem.
Kad uzbrucēji ir izmantojuši ProxyShell ievainojamību, uzbrucēji ievieto backdoor tīmekļa skriptu publiskā direktorijā mērķa Exchange serverī. Pēc tam šis skripts palaiž vajadzīgo ļaunprātīgo kodu, kas pēc tam lejupielādē papildu pakāpeniskos failus no komandu un vadības servera un izpilda tos. Pēc tam uzbrucēji izveido jaunu sistēmas administratoru un izmanto Mimikatz, lai nozagtu NTLM hash, kas ļauj viņiem pārņemt kontroli pār sistēmu, nezinot neviena paroles, izmantojot caurlaides jaucējkrānu tehnika.
Kad viss ir izveidots, sliktie dalībnieki sāk skenēt visu tīklu, lai atrastu sensitīvus un potenciāli svarīgus failus. Visbeidzot, tiek izveidota un izvietota pielāgota lietderīgā slodze — fails, ko maldinoši sauc par Windows.exe, lai šifrētu visus datus, kā arī notīrīt notikumu žurnālus, dzēst ēnu kopijas un atspējot citus drošības risinājumus, lai tie paliktu neatklāts. Kad visi dati ir šifrēti, kravnesība parāda brīdinājumu lietotājiem, mudinot tos samaksāt, lai atgūtu savus datus un saglabātu to drošību.
Hive darbības veids ir tāds, ka tas ne tikai šifrē datus un pieprasa izpirkuma maksu, lai tos atdotu. Grupa pārvalda arī vietni, kas pieejama, izmantojot Tor pārlūkprogrammu, kur uzņēmumu sensitīvos datus var kopīgot, ja tie nepiekrīt maksāt. Tas rada papildu steidzamību cietušajiem, kuri vēlas, lai svarīgi dati paliktu konfidenciāli.
Saskaņā ar Varonis kriminālistikas komandas ziņojumu, pagāja mazāk nekā 72 stundas no sākotnējās ekspluatācijas. Microsoft Exchange Server ievainojamība pret uzbrucējiem, kas galu galā sasniedz vēlamo mērķi lietu.
Ja jūsu organizācija paļaujas uz Microsoft Exchange Server, jums ir jāpārliecinās, vai jums ir instalēti jaunākie ielāpi, lai saglabātu aizsardzību pret šo izspiedējvīrusu uzbrukumu vilni. Parasti ir laba ideja būt pēc iespējas jaunākam, ņemot vērā, ka bieži vien ir ievainojamības atklājās pēc ielāpu izdošanas, atstājot uzbrucējiem atklātas novecojušas sistēmas mērķis.
Avots: Varonis
Caur: ZDNet