Empresas que usam versões desatualizadas do Microsoft Exchange Server estão sendo extorquidas por meio de um novo ataque de ransomware coordenado pela Hive.
Todos os dias, parece que há uma notícia sobre alguns grande problema de segurança em um produto Microsoft, e hoje parece que o Exchange Server da Microsoft está no centro de outro. Os clientes do Microsoft Exchange Server estão sendo alvo de uma onda de ataques de ransomware realizados pelo Hive, uma conhecida plataforma de ransomware como serviço (RaaS) voltada para empresas e todos os tipos de organizações.
O ataque aproveita um conjunto de vulnerabilidades no Microsoft Exchange Server conhecido como ProxyShell. Esta é uma vulnerabilidade crítica de execução remota de código que permite que invasores executem código remotamente nos sistemas afetados. Embora as três vulnerabilidades sob a égide do ProxyShell tenham sido corrigidas em maio de 2021, é sabido que muitas empresas não atualizam seus softwares com a frequência que deveriam. Como tal, vários clientes estão a ser afetados, incluindo um que falou com a Equipa Forense da Varonis, que primeiro relatou estes ataques.
Depois de explorar as vulnerabilidades do ProxyShell, os invasores plantam um script backdoor da web em um diretório público no servidor Exchange de destino. Esse script então executa o código malicioso desejado, que baixa arquivos stager adicionais de um servidor de comando e controle e os executa. Os invasores então criam um novo administrador de sistema e usam o Mimikatz para roubar o hash NTLM, que permite que eles assumam o controle do sistema sem saber as senhas de ninguém por meio de um pass-the-hash técnica.
Com tudo pronto, os atores mal intencionados começam a escanear toda a rede em busca de arquivos confidenciais e potencialmente importantes. Finalmente, uma carga personalizada - um arquivo enganosamente chamado Windows.exe - é criada e implantada para criptografar todos os dados, bem como limpar logs de eventos, excluir cópias de sombra e desativar outras soluções de segurança para que permaneçam não detectado. Depois que todos os dados são criptografados, a carga exibe um aviso aos usuários, instando-os a pagar para recuperar seus dados e mantê-los seguros.
A forma como o Hive opera é que ele não apenas criptografa os dados e pede um resgate para devolvê-los. O grupo também opera um site acessível através do navegador Tor, onde os dados confidenciais das empresas podem ser compartilhados caso elas não concordem em pagar. Isso cria uma urgência adicional para as vítimas que desejam que dados importantes permaneçam confidenciais.
De acordo com o relatório da Equipe Forense da Varonis, foram necessárias menos de 72 horas desde a exploração inicial do Vulnerabilidade do Microsoft Exchange Server para que os invasores atinjam o objetivo desejado, em um determinado caso.
Se a sua organização depende do Microsoft Exchange Server, você vai querer ter certeza de ter os patches mais recentes instalados para se manter protegido contra esta onda de ataques de ransomware. Geralmente é uma boa ideia manter-se o mais atualizado possível, considerando que as vulnerabilidades são frequentemente revelado depois que os patches foram lançados, deixando sistemas desatualizados abertos para que os invasores alvo.
Fonte: Varonis
Através da: ZDNet