Företag som använder föråldrade versioner av Microsoft Exchange Server utpressas genom en ny ransomware-attack koordinerad av Hive.
Varannan dag verkar det som att det finns en nyhet om vissa stora säkerhetsproblem på en Microsoft-produkt, och idag verkar det som om Microsofts Exchange Server är i centrum för en annan. Microsoft Exchange Server-kunder drabbas av en våg av ransomware-attacker utförda av Hive, en välkänd ransomware-as-a-service (RaaS)-plattform som riktar sig till företag och alla typer av organisationer.
Attacken utnyttjar en uppsättning sårbarheter i Microsoft Exchange Server som kallas ProxyShell. Detta är en kritisk sårbarhet för fjärrkörning av kod som gör att angripare kan köra kod på berörda system på distans. Medan de tre sårbarheterna under ProxyShell-paraplyet korrigerades i maj 2021, är det välkänt att många företag inte uppdaterar sin programvara så ofta som de borde. Som sådan påverkas olika kunder, inklusive en som talade med Varonis Forensics Team, som först rapporterade om dessa attacker.
När angriparna väl har utnyttjat ProxyShell-sårbarheterna, planterar angriparna ett bakdörrswebbskript i en offentlig katalog på den riktade Exchange-servern. Detta skript kör sedan den önskade skadliga koden, som sedan laddar ner ytterligare stager-filer från en kommando- och kontrollserver och körde dem. Angriparna skapar sedan en ny systemadministratör och använder Mimikatz för att stjäla NTLM-hash, som låter dem ta kontroll över systemet utan att känna till någons lösenord genom en pass-the-hash Metod.
Med allt på plats börjar de illa tänkta aktörerna skanna hela nätverket efter känsliga och potentiellt viktiga filer. Slutligen skapas och distribueras en anpassad nyttolast - en fil som bedrägligt kallas Windows.exe - för att kryptera alla data, samt rensa händelseloggar, ta bort skuggkopior och inaktivera andra säkerhetslösningar så att det finns kvar oupptäckt. När all data är krypterad visar nyttolasten en varning till användarna som uppmanar dem att betala för att få tillbaka sin data och förvara den säker.
Sättet som Hive fungerar är att det inte bara krypterar data och ber om en lösensumma för att ge tillbaka dem. Gruppen driver också en webbplats som är tillgänglig via webbläsaren Tor, där företags känsliga data kan delas om de inte går med på att betala. Det skapar en extra brådska för offer som vill att viktiga uppgifter ska förbli konfidentiella.
Enligt Varonis Forensics Teams rapport tog det mindre än 72 timmar från den första exploateringen av Microsoft Exchange Server sårbarhet för angripare i slutändan att nå sitt önskade mål, i ett särskilt fall.
Om din organisation förlitar sig på Microsoft Exchange Server, vill du se till att du har de senaste patcharna installerade för att hålla dig skyddad från denna våg av ransomware-attacker. Det är generellt sett en bra idé att hålla sig så uppdaterad som möjligt med tanke på att sårbarheter ofta förekommer avslöjas efter att patchar har utfärdats, vilket lämnar inaktuella system öppet för angripare mål.
Källa: Varonis
Via: ZDNet