Bedrijven die verouderde versies van Microsoft Exchange Server gebruiken, worden afgeperst via een nieuwe ransomware-aanval, gecoördineerd door Hive.
Om de dag lijkt het alsof er over sommigen een nieuwsbericht is groot beveiligingsprobleem op een Microsoft-product, en vandaag lijkt het erop dat de Exchange Server van Microsoft het middelpunt vormt van een andere. Klanten van Microsoft Exchange Server worden het doelwit van een golf van ransomware-aanvallen uitgevoerd door Hive, een bekend ransomware-as-a-service (RaaS)-platform dat zich richt op bedrijven en allerlei soorten organisaties.
De aanval maakt gebruik van een reeks kwetsbaarheden in Microsoft Exchange Server, bekend als ProxyShell. Dit is een kritieke kwetsbaarheid voor het uitvoeren van externe code, waardoor aanvallers op afstand code kunnen uitvoeren op getroffen systemen. Hoewel de drie kwetsbaarheden onder de ProxyShell-paraplu vanaf mei 2021 zijn gepatcht, is het bekend dat veel bedrijven hun software niet zo vaak updaten als zou moeten. Als zodanig worden verschillende klanten getroffen, waaronder iemand die sprak met het Varonis Forensics Team, dat voor het eerst over deze aanvallen rapporteerde.
Nadat de aanvallers de ProxyShell-kwetsbaarheden hebben uitgebuit, plaatsen ze een backdoor-webscript in een openbare map op de beoogde Exchange-server. Dit script voert vervolgens de gewenste kwaadaardige code uit, die vervolgens extra stager-bestanden downloadt van een command-and-control-server en deze uitvoert. De aanvallers creëren vervolgens een nieuwe systeembeheerder en gebruiken Mimikatz om de NTLM-hash te stelen stelt hen in staat de controle over het systeem over te nemen zonder de wachtwoorden van iemand anders te kennen via een pass-the-hash techniek.
Nu alles op zijn plaats is, beginnen de kwaadwillende actoren het hele netwerk te scannen op gevoelige en potentieel belangrijke bestanden. Ten slotte wordt een aangepaste payload (een bestand dat bedrieglijk Windows.exe heet) gemaakt en geïmplementeerd om alle gegevens, evenals het wissen van gebeurtenislogboeken, het verwijderen van schaduwkopieën en het uitschakelen van andere beveiligingsoplossingen, zodat deze blijven bestaan onopgemerkt. Zodra alle gegevens zijn gecodeerd, geeft de payload een waarschuwing weer aan gebruikers, waarin ze worden aangespoord te betalen om hun gegevens terug te krijgen en veilig te houden.
De manier waarop Hive werkt, is dat het niet alleen gegevens versleutelt en om losgeld vraagt om deze terug te geven. De groep exploiteert ook een website die toegankelijk is via de Tor-browser, waar gevoelige gegevens van bedrijven kunnen worden gedeeld als ze niet akkoord gaan met betalen. Dat creëert een extra urgentie voor slachtoffers die willen dat belangrijke gegevens vertrouwelijk blijven.
Volgens het rapport van het Varonis Forensics Team duurde het minder dan 72 uur vanaf de eerste exploitatie van de Microsoft Exchange Server-kwetsbaarheid voor de aanvallers die uiteindelijk hun gewenste doel bereiken, in het bijzonder geval.
Als uw organisatie afhankelijk is van Microsoft Exchange Server, wilt u er zeker van zijn dat u over de nieuwste patches beschikt om beschermd te blijven tegen deze golf van ransomware-aanvallen. Het is over het algemeen een goed idee om zo up-to-date mogelijk te blijven, aangezien er vaak kwetsbaarheden zijn onthuld nadat patches zijn uitgegeven, waardoor verouderde systemen open blijven voor aanvallers doel.
Bron: Varonis
Via: ZDNet