Компании, использующие устаревшие версии Microsoft Exchange Server, подвергаются вымогательству с помощью новой атаки с использованием программы-вымогателя, координируемой Hive.
Кажется, каждый день появляются новости о каких-то серьезная проблема безопасности продукта Microsoft, и сегодня кажется, что Microsoft Exchange Server находится в центре другого сервера. Клиенты Microsoft Exchange Server подверглись волне атак с использованием программ-вымогателей, осуществленных Hive. известная платформа «программы-вымогатели как услуга» (RaaS), предназначенная для предприятий и организаций любого типа.
Атака использует набор уязвимостей в Microsoft Exchange Server, известный как ProxyShell. Это критическая уязвимость удаленного выполнения кода, которая позволяет злоумышленникам удаленно запускать код на затронутых системах. Хотя три уязвимости под эгидой ProxyShell были исправлены по состоянию на май 2021 года, хорошо известно, что многие компании не обновляют свое программное обеспечение так часто, как следовало бы. Таким образом, пострадали различные клиенты, в том числе один, который разговаривал с командой криминалистики Varonis, которая первой сообщила об этих атаках.
Воспользовавшись уязвимостями ProxyShell, злоумышленники внедряют бэкдорный веб-скрипт в общедоступный каталог на целевом сервере Exchange. Затем этот сценарий запускает нужный вредоносный код, который затем загружает дополнительные промежуточные файлы с сервера управления и контроля и выполняет их. Затем злоумышленники создают нового системного администратора и используют Mimikatz для кражи NTLM-хеша, который позволяет им получить контроль над системой, не зная чьих-либо паролей, посредством передачи хеша техника.
Когда все готово, злоумышленники начинают сканировать всю сеть на наличие конфиденциальных и потенциально важных файлов. Наконец, создается и развертывается специальная полезная нагрузка — файл с обманчивым названием Windows.exe — для шифрования всех данных. данные, а также очищать журналы событий, удалять теневые копии и отключать другие решения безопасности, чтобы они оставались незамеченный. Как только все данные зашифрованы, полезная нагрузка отображает предупреждение для пользователей, призывающее их заплатить, чтобы вернуть свои данные и сохранить их в безопасности.
Принцип работы Hive заключается в том, что он не просто шифрует данные и просит выкуп за их возврат. Группа также управляет веб-сайтом, доступным через браузер Tor, где можно передавать конфиденциальные данные компаний, если они не согласны платить. Это создает дополнительную необходимость для жертв, которые хотят, чтобы важные данные оставались конфиденциальными.
Согласно отчету команды криминалистов Varonis, с момента первоначального использования уязвимости прошло менее 72 часов. Уязвимость Microsoft Exchange Server позволяет злоумышленникам в конечном итоге достичь желаемой цели, в частности случай.
Если ваша организация использует Microsoft Exchange Server, вам необходимо убедиться, что у вас установлены последние исправления, чтобы оставаться защищенными от этой волны атак программ-вымогателей. Как правило, рекомендуется оставаться в курсе последних событий, поскольку уязвимости часто обнаруживаются. обнаруживается после выпуска исправлений, в результате чего устаревшие системы остаются открытыми для злоумышленников. цель.
Источник: Варонис
С помощью: ЗДНет