Spoločnosti používajúce zastarané verzie Microsoft Exchange Servera sú vydierané prostredníctvom nového ransomvérového útoku koordinovaného spoločnosťou Hive.
Zdá sa, že každý druhý deň je o niektorých novinách hlavný bezpečnostný problém v produkte spoločnosti Microsofta dnes sa zdá, že Exchange Server od Microsoftu je v centre iného. Zákazníci Microsoft Exchange Server sú terčom vlny ransomvérových útokov uskutočnených spoločnosťou Hive, známa platforma ransomware-as-a-service (RaaS), ktorá sa zameriava na podniky a všetky druhy organizácií.
Útok využíva súbor zraniteľností v serveri Microsoft Exchange Server známych ako ProxyShell. Ide o kritickú chybu zabezpečenia vzdialeného spúšťania kódu, ktorá útočníkom umožňuje spúšťať kód na postihnutých systémoch na diaľku. Zatiaľ čo tri zraniteľnosti pod záštitou ProxyShell boli opravené v máji 2021, je dobre známe, že mnohé firmy neaktualizujú svoj softvér tak často, ako by mali. V dôsledku toho sú ovplyvnení rôzni zákazníci vrátane jedného, ktorý hovoril s Forenzným tímom Varonis, ktorý ako prvý informoval o týchto útokoch.
Akonáhle útočníci zneužijú zraniteľnosť ProxyShell, umiestnia backdoor webový skript do verejného adresára na cieľovom serveri Exchange. Tento skript potom spustí požadovaný škodlivý kód, ktorý potom stiahne ďalšie súbory stager z príkazového a riadiaceho servera a spustí ich. Útočníci potom vytvoria nového správcu systému a pomocou Mimikatz ukradnú NTLM hash, ktorý umožňuje im prevziať kontrolu nad systémom bez toho, aby poznali kohokoľvek heslá prostredníctvom pass-the-hash technika.
Keď je všetko na svojom mieste, neúmyselní herci začnú prehľadávať celú sieť a hľadať citlivé a potenciálne dôležité súbory. Nakoniec sa vytvorí a nasadí vlastný obsah – súbor podvodne nazývaný Windows.exe – na šifrovanie všetkých údaje, ako aj vymazať denníky udalostí, odstrániť tieňové kópie a zakázať iné bezpečnostné riešenia, aby zostali zachované nezistené. Akonáhle sú všetky údaje zašifrované, užitočné zaťaženie zobrazí používateľom varovanie, ktoré ich vyzýva, aby zaplatili, aby získali svoje údaje späť a udržali ich v bezpečí.
Spôsob, akým Hive funguje, spočíva v tom, že nielen zašifruje údaje a nepožiada o výkupné, aby ich vrátil. Skupina tiež prevádzkuje webovú stránku prístupnú cez prehliadač Tor, kde možno zdieľať citlivé údaje spoločností, ak nesúhlasia so zaplatením. To vytvára ďalšiu naliehavosť pre obete, ktoré chcú, aby dôležité údaje zostali dôverné.
Podľa správy Forenzného tímu Varonis to trvalo menej ako 72 hodín od počiatočného využitia Zraniteľnosť servera Microsoft Exchange Server, aby sa útočníci v konečnom dôsledku dostali k vytúženému cieľu prípad.
Ak sa vaša organizácia spolieha na Microsoft Exchange Server, budete sa chcieť uistiť, že máte nainštalované najnovšie záplaty, aby ste zostali chránení pred touto vlnou ransomvérových útokov. Vo všeobecnosti je dobré zostať čo najaktuálnejší vzhľadom na to, že často existujú slabé miesta odhalené po vydaní záplat, takže zastarané systémy sú pre útočníkov otvorené cieľ.
Zdroj: Varonis
Cez: ZDNet