Firmy korzystające z przestarzałych wersji programu Microsoft Exchange Server są wyłudzane w wyniku nowego ataku oprogramowania ransomware koordynowanego przez firmę Hive.
Co drugi dzień wydaje się, że o niektórych jest jakiś news poważny problem bezpieczeństwa w produkcie Microsoft, a dziś wydaje się, że serwer Exchange firmy Microsoft znajduje się w centrum innego. Klienci Microsoft Exchange Server stają się celem fali ataków oprogramowania ransomware przeprowadzanych przez firmę Hive, dobrze znana platforma ransomware jako usługa (RaaS), której celem są firmy i wszelkiego rodzaju organizacje.
Atak wykorzystuje zestaw luk w zabezpieczeniach programu Microsoft Exchange Server znanych jako ProxyShell. Jest to krytyczna luka umożliwiająca zdalne wykonanie kodu, która umożliwia atakującym zdalne uruchomienie kodu w systemach, których dotyczy luka. Chociaż trzy luki w zabezpieczeniach ProxyShell zostały załatane w maju 2021 r., powszechnie wiadomo, że wiele firm nie aktualizuje swojego oprogramowania tak często, jak powinno. W związku z tym atak dotyczy różnych klientów, w tym jednego, który rozmawiał z zespołem Varonis Forensics, który jako pierwszy zgłosił te ataki.
Po wykorzystaniu luk w zabezpieczeniach ProxyShell napastnicy umieszczają skrypt internetowy typu backdoor w publicznym katalogu na docelowym serwerze Exchange. Następnie skrypt ten uruchamia żądany złośliwy kod, który następnie pobiera dodatkowe pliki stager z serwera dowodzenia i kontroli i je wykonuje. Następnie atakujący tworzą nowego administratora systemu i używają Mimikatza do kradzieży skrótu NTLM, który pozwala im przejąć kontrolę nad systemem bez znajomości niczyich haseł poprzez przekazanie skrótu technika.
Gdy wszystko jest na swoim miejscu, nieuczciwi aktorzy rozpoczynają skanowanie całej sieci w poszukiwaniu wrażliwych i potencjalnie ważnych plików. Na koniec tworzony i wdrażany jest niestandardowy ładunek — plik łudząco nazywany Windows.exe — w celu zaszyfrowania wszystkich danych, a także wyczyść dzienniki zdarzeń, usuń kopie w tle i wyłącz inne rozwiązania zabezpieczające, aby tak pozostało nie wykryty. Gdy wszystkie dane zostaną zaszyfrowane, ładunek wyświetla ostrzeżenie użytkownikom, wzywając ich do zapłaty za odzyskanie danych i zapewnienie ich bezpieczeństwa.
Sposób działania Hive polega na tym, że nie tylko szyfruje dane i żąda okupu za ich zwrot. Grupa prowadzi także stronę internetową dostępną za pośrednictwem przeglądarki Tor, na której można udostępniać wrażliwe dane firm, jeśli nie wyrażą one zgody na uiszczenie opłaty. Stwarza to dodatkową pilną potrzebę dla ofiar, które chcą, aby ważne dane pozostały poufne.
Według raportu zespołu Varonis Forensics Team od początkowej eksploatacji obiektu minęły niecałe 72 godziny. W jednym szczególności podatność serwera Microsoft Exchange na to, aby atakujący ostatecznie osiągnęli zamierzony cel sprawa.
Jeśli Twoja organizacja korzysta z serwera Microsoft Exchange Server, upewnij się, że masz zainstalowane najnowsze poprawki, aby chronić się przed falą ataków oprogramowania ransomware. Ogólnie rzecz biorąc, dobrze jest być na bieżąco, biorąc pod uwagę częste luki w zabezpieczeniach ujawnione po wydaniu łatek, pozostawiając nieaktualne systemy na widoku atakujących cel.
Źródło: Waronis
Przez: ZDNet