Microsoft Exchange Server-brukere blir målrettet av Hive-ransomware-angrep

Selskaper som bruker utdaterte versjoner av Microsoft Exchange Server blir presset ut gjennom et nytt løsepenge-angrep koordinert av Hive.

Annenhver dag virker det som det er en nyhetssak om noen stort sikkerhetsproblem på et Microsoft-produkt, og i dag virker det som Microsofts Exchange Server er i sentrum av en annen. Microsoft Exchange Server-kunder blir målrettet av en bølge av løsepenge-angrep utført av Hive, en velkjent ransomware-as-a-service (RaaS)-plattform som retter seg mot bedrifter og alle slags organisasjoner.

Angrepet utnytter et sett med sårbarheter i Microsoft Exchange Server kjent som ProxyShell. Dette er et kritisk sikkerhetsproblem som gjør at angripere kan kjøre kode på berørte systemer eksternt. Mens de tre sårbarhetene under ProxyShell-paraplyen ble korrigert fra mai 2021, er det velkjent at mange bedrifter ikke oppdaterer programvaren så ofte som de burde. Som sådan blir forskjellige kunder berørt, inkludert en som snakket med Varonis Forensics Team, som først rapporterte om disse angrepene.

Etter å ha utnyttet ProxyShell-sårbarhetene, planter angriperne et bakdør-webskript i en offentlig katalog på den målrettede Exchange-serveren. Dette skriptet kjører deretter den ønskede ondsinnede koden, som deretter laster ned flere stager-filer fra en kommando- og kontrollserver og kjører dem. Angriperne oppretter deretter en ny systemadministrator og bruker Mimikatz til å stjele NTLM-hashen, som lar dem ta kontroll over systemet uten å kjenne noens passord gjennom en pass-the-hash teknikk.

Med alt på plass begynner de dårlige aktørene å skanne hele nettverket for sensitive og potensielt viktige filer. Til slutt opprettes og distribueres en tilpasset nyttelast - en fil som villedende kalles Windows.exe - for å kryptere alle data, i tillegg til å slette hendelseslogger, slette skyggekopier og deaktivere andre sikkerhetsløsninger slik at de forblir uoppdaget. Når alle dataene er kryptert, viser nyttelasten en advarsel til brukerne som oppfordrer dem til å betale for å få tilbake dataene og holde dem trygge.

Måten Hive fungerer på er at den ikke bare krypterer data og ber om løsepenger for å gi dem tilbake. Konsernet driver også et nettsted som er tilgjengelig via nettleseren Tor, der selskapers sensitive data kan deles dersom de ikke godtar å betale. Det skaper en ekstra haster for ofre som ønsker at viktige data skal forbli konfidensielle.

I følge Varonis Forensics Teams rapport tok det under 72 timer fra den første utnyttelsen av Microsoft Exchange Server-sårbarhet for at angriperne til slutt når sitt ønskede mål, i en bestemt sak.

Hvis organisasjonen din er avhengig av Microsoft Exchange Server, bør du sørge for at du har de nyeste oppdateringene installert for å holde deg beskyttet mot denne bølgen av løsepenge-angrep. Det er generelt en god idé å holde seg så oppdatert som mulig med tanke på at sårbarheter ofte er avslørt etter at patcher har blitt utstedt, og lar utdaterte systemer stå åpent for angripere mål.


Kilde: Varonis

Via: ZDNet