Podjetja, ki uporabljajo zastarele različice strežnika Microsoft Exchange Server, so izsiljena z novim napadom izsiljevalske programske opreme, ki ga koordinira Hive.
Vsak drugi dan se zdi, kot da je novica o nekaterih velika varnostna težava Microsoftovega izdelka, danes pa se zdi, da je Microsoftov strežnik Exchange Server v središču drugega. Stranke strežnika Microsoft Exchange Server so tarča vala napadov z izsiljevalsko programsko opremo, ki jih izvaja Hive, dobro znana platforma izsiljevalske programske opreme kot storitve (RaaS), ki cilja na podjetja in vse vrste organizacij.
Napad izkorišča niz ranljivosti v strežniku Microsoft Exchange Server, znanih kot ProxyShell. To je kritična ranljivost oddaljenega izvajanja kode, ki napadalcem omogoča oddaljeno izvajanje kode na prizadetih sistemih. Medtem ko so bile tri ranljivosti pod okriljem ProxyShell popravljene maja 2021, je dobro znano, da številna podjetja ne posodabljajo svoje programske opreme tako pogosto, kot bi morala. Kot take so prizadete različne stranke, vključno z eno, ki je govorila z ekipo Varonis Forensics, ki je prva poročala o teh napadih.
Ko napadalci izkoristijo ranljivosti ProxyShell, v javni imenik na ciljnem strežniku Exchange postavijo spletni skript za zakulisna vrata. Ta skript nato zažene želeno zlonamerno kodo, ki nato prenese dodatne datoteke stager iz ukaznega in nadzornega strežnika ter jih izvede. Napadalci nato ustvarijo novega sistemskega skrbnika in uporabijo Mimikatz za krajo zgoščene vrednosti NTLM, ki jim omogoča, da prek pass-the-hash prevzamejo nadzor nad sistemom, ne da bi poznali nečija gesla tehnika.
Ko je vse pripravljeno, zlonamerni akterji začnejo skenirati celotno omrežje za občutljivimi in potencialno pomembnimi datotekami. Nazadnje je ustvarjen in razporejen koristni tovor po meri – datoteka z zavajajočim imenom Windows.exe – za šifriranje vseh podatkov, kot tudi brisanje dnevnikov dogodkov, brisanje senčnih kopij in onemogočanje drugih varnostnih rešitev, da ostane neodkrito. Ko so vsi podatki šifrirani, uporabniški tovor uporabnikom prikaže opozorilo, ki jih poziva, naj plačajo, da dobijo svoje podatke nazaj in jih ohranijo na varnem.
Hive deluje tako, da ne samo šifrira podatke in zahteva odkupnino, da jih vrne. Skupina upravlja tudi spletno mesto, dostopno prek brskalnika Tor, kjer lahko delijo občutljive podatke podjetij, če se ne strinjajo s plačilom. To ustvarja dodatno nujnost za žrtve, ki želijo, da pomembni podatki ostanejo zaupni.
Glede na poročilo Forenzične ekipe Varonis je trajalo manj kot 72 ur od začetne uporabe Ranljivost strežnika Microsoft Exchange Server za napadalce, ki končno pridejo do želenega cilja, zlasti v enem primeru Ovitek.
Če se vaša organizacija zanaša na Microsoft Exchange Server, boste želeli zagotoviti, da imate nameščene najnovejše popravke, da boste ostali zaščiteni pred tem valom napadov izsiljevalske programske opreme. Na splošno je dobro, da ste čim bolj na tekočem, saj so ranljivosti pogosto razkrito po izdaji popravkov, zaradi česar so zastareli sistemi na prostem za napadalce tarča.
Vir: Varonis
prek: ZDNet