Companiile care folosesc versiuni învechite ale Microsoft Exchange Server sunt extorcate printr-un nou atac ransomware coordonat de Hive.
Din două în două zile, se pare că există o știre despre unii problemă majoră de securitate pe un produs Microsoft, iar astăzi, se pare că Microsoft Exchange Server este în centrul altuia. Clienții Microsoft Exchange Server sunt vizați de un val de atacuri ransomware efectuate de Hive, o binecunoscută platformă ransomware-as-a-service (RaaS) care vizează companiile și toate tipurile de organizații.
Atacul folosește un set de vulnerabilități în Microsoft Exchange Server cunoscut sub numele de ProxyShell. Aceasta este o vulnerabilitate critică de execuție a codului de la distanță, care permite atacatorilor să ruleze de la distanță codul pe sistemele afectate. În timp ce cele trei vulnerabilități sub umbrela ProxyShell au fost corectate din mai 2021, este bine cunoscut faptul că multe companii nu își actualizează software-ul atât de des pe cât ar trebui. Ca atare, diverși clienți sunt afectați, inclusiv unul care a vorbit cu Echipa de criminalistică Varonis, care a raportat pentru prima dată aceste atacuri.
Odată ce au exploatat vulnerabilitățile ProxyShell, atacatorii plasează un script web backdoor într-un director public de pe serverul Exchange vizat. Acest script rulează apoi codul rău intenționat dorit, care apoi descarcă fișiere suplimentare de la un server de comandă și control și le-a executat. Atacatorii creează apoi un nou administrator de sistem și folosesc Mimikatz pentru a fura hash-ul NTLM, care le permite să preia controlul asupra sistemului fără să cunoască parolele cuiva printr-un pass-the-hash tehnică.
Cu totul la locul lor, actorii neintenționați încep să scaneze întreaga rețea pentru fișiere sensibile și potențial importante. În cele din urmă, o sarcină utilă personalizată - un fișier numit în mod înșelător Windows.exe - este creat și implementat pentru a cripta toate date, precum și ștergeți jurnalele de evenimente, ștergeți copii umbre și dezactivați alte soluții de securitate, astfel încât să rămână nedetectat. Odată ce toate datele sunt criptate, sarcina utilă afișează un avertisment pentru utilizatori care îi îndeamnă să plătească pentru a-și recupera datele și a le păstra în siguranță.
Modul în care funcționează Hive este că nu doar criptează datele și solicită o răscumpărare pentru a le returna. Grupul operează, de asemenea, un site web accesibil prin browserul Tor, unde datele sensibile ale companiilor pot fi partajate dacă acestea nu sunt de acord să plătească. Acest lucru creează o urgență suplimentară pentru victimele care doresc ca datele importante să rămână confidențiale.
Potrivit raportului echipei de criminalistică Varonis, a durat mai puțin de 72 de ore de la exploatarea inițială a Vulnerabilitatea Microsoft Exchange Server pentru ca atacatorii să ajungă în cele din urmă la obiectivul dorit, într-un anume caz.
Dacă organizația dvs. se bazează pe Microsoft Exchange Server, veți dori să vă asigurați că aveți cele mai recente patch-uri instalate pentru a rămâne protejată de acest val de atacuri ransomware. În general, este o idee bună să rămâneți cât mai la zi, având în vedere că vulnerabilitățile sunt adesea dezvăluite după ce au fost emise patch-uri, lăsând sistemele învechite la vedere pentru atacatori ţintă.
Sursă: Varonis
Prin intermediul: ZDNet