Компаније које користе застареле верзије Мицрософт Екцханге сервера су изнуђене кроз нови напад на рансомваре који координира Хиве.
Сваки други дан, изгледа као да има вести о некима главни безбедносни проблем на Мицрософт производу, а данас се чини да је Мицрософтов Екцханге Сервер у средишту другог. Купци Мицрософт Екцханге сервера су на мети таласа напада рансомвера које спроводи Хиве, добро позната платформа рансомваре-ас-а-сервице (РааС) која циља предузећа и све врсте организација.
Напад користи скуп рањивости у Мицрософт Екцханге серверу познатом као ПрокиСхелл. Ово је критична рањивост даљинског извршавања кода која омогућава нападачима да даљински покрећу код на погођеним системима. Иако су три рањивости под окриљем ПрокиСхелл-а закрпљене од маја 2021. године, добро је познато да многа предузећа не ажурирају свој софтвер онолико често колико би требало. Као такви, погођени су различити купци, укључујући и једног који је разговарао са Варонисовим форензичким тимом, који је први известио о овим нападима.
Једном када су искористили рањивости ПрокиСхелл-а, нападачи постављају бацкдоор веб скрипту у јавни директоријум на циљаном Екцханге серверу. Ова скрипта затим покреће жељени злонамерни код, који затим преузима додатне стагер датотеке са командног и контролног сервера и извршава их. Нападачи затим креирају новог администратора система и користе Мимикатз да украду НТЛМ хеш, који омогућава им да преузму контролу над системом, а да не знају ничије лозинке кроз пасс-тхе-хасх техника.
Када је све на месту, злонамерни актери почињу да скенирају целу мрежу у потрази за осетљивим и потенцијално важним датотекама. Коначно, прилагођено оптерећење - датотека која се лажно назива Виндовс.еке - креира се и примењује да шифрује све податке, као и брисање евиденције догађаја, брисање копија у сенци и онемогућавање других безбедносних решења како би остало неоткривен. Када су сви подаци шифровани, корисни терет приказује упозорење корисницима који их позивају да плате како би добили назад своје податке и сачували их.
Начин на који Хиве функционише је да не шифрује само податке и тражи откуп да би их вратио. Група такође има веб локацију доступном преко Тор претраживача, где се осетљиви подаци компанија могу делити ако не пристану да плате. То ствара додатну хитност за жртве које желе да важни подаци остану поверљиви.
Према извештају Варонисовог форензичког тима, требало је мање од 72 сата од почетне експлоатације Рањивост Мицрософт Екцханге сервера на нападаче који на крају долазе до жељеног циља, посебно случај.
Ако се ваша организација ослања на Мицрософт Екцханге Сервер, треба да будете сигурни да имате инсталиране најновије закрпе како бисте остали заштићени од овог таласа напада рансомвера. Опћенито је добра идеја да останете што је могуће ажурнији с обзиром да су рањивости често откривено након што су издате закрпе, остављајући застареле системе на отвореном за нападаче циљ.
Извор: Варонис
преко: ЗДНет