ผู้ใช้ Microsoft Exchange Server ตกเป็นเป้าหมายของการโจมตีแรนซัมแวร์ Hive

สรุปข่าวNov 16, 2023

บริษัทที่ใช้ Microsoft Exchange Server เวอร์ชันล้าสมัยกำลังถูกขู่กรรโชกผ่านการโจมตีแรนซัมแวร์ใหม่ที่ประสานงานโดย Hive

วันเว้นวันเหมือนจะมีข่าวเกี่ยวกับเรื่องนี้บ้าง ปัญหาด้านความปลอดภัยที่สำคัญในผลิตภัณฑ์ Microsoftและวันนี้ดูเหมือนว่า Exchange Server ของ Microsoft จะเป็นศูนย์กลางของอีกเซิร์ฟเวอร์หนึ่ง ลูกค้า Microsoft Exchange Server กำลังตกเป็นเป้าหมายของการโจมตีแรนซัมแวร์ที่ดำเนินการโดย Hive แพลตฟอร์ม ransomware-as-a-service (RaaS) ที่รู้จักกันดีซึ่งกำหนดเป้าหมายธุรกิจและองค์กรทุกประเภท

การโจมตีใช้ประโยชน์จากชุดช่องโหว่ใน Microsoft Exchange Server ที่เรียกว่า ProxyShell นี่เป็นช่องโหว่สำคัญในการเรียกใช้โค้ดจากระยะไกล ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดบนระบบที่ได้รับผลกระทบจากระยะไกลได้ แม้ว่าช่องโหว่ทั้งสามรายการภายใต้ ProxyShell ได้รับการแก้ไขแล้วในเดือนพฤษภาคม 2021 แต่ก็เป็นที่ทราบกันดีว่าธุรกิจจำนวนมากไม่ได้อัปเดตซอฟต์แวร์บ่อยเท่าที่ควร ด้วยเหตุนี้ ลูกค้าหลายรายจึงได้รับผลกระทบ รวมถึงลูกค้ารายหนึ่งที่พูดคุยกับทีม Varonis Forensics ซึ่งเป็นผู้รายงานการโจมตีเหล่านี้เป็นครั้งแรก

เมื่อใช้ประโยชน์จากช่องโหว่ของ ProxyShell แล้ว ผู้โจมตีจะฝังสคริปต์เว็บประตูหลังไว้ในไดเร็กทอรีสาธารณะบนเซิร์ฟเวอร์ Exchange เป้าหมาย จากนั้นสคริปต์นี้จะรันโค้ดที่เป็นอันตรายที่ต้องการ ซึ่งจะดาวน์โหลดไฟล์ Stager เพิ่มเติมจากเซิร์ฟเวอร์คำสั่งและการควบคุมและดำเนินการ ผู้โจมตีจึงสร้างผู้ดูแลระบบใหม่และใช้ Mimikatz เพื่อขโมยแฮช NTLM ซึ่ง อนุญาตให้พวกเขาควบคุมระบบโดยไม่ต้องรู้รหัสผ่านของใครเลยผ่านการแฮช เทคนิค.

เมื่อทุกอย่างพร้อมแล้ว ผู้กระทำผิดจะเริ่มสแกนเครือข่ายทั้งหมดเพื่อหาไฟล์ที่ละเอียดอ่อนและอาจสำคัญ ในที่สุด เพย์โหลดแบบกำหนดเอง ซึ่งเป็นไฟล์ที่เรียกว่า Windows.exe ได้ถูกสร้างและปรับใช้เพื่อเข้ารหัสไฟล์ทั้งหมด ข้อมูลตลอดจนล้างบันทึกเหตุการณ์ ลบ Shadow Copy และปิดใช้งานโซลูชันความปลอดภัยอื่น ๆ เพื่อให้ยังคงอยู่ ตรวจไม่พบ เมื่อข้อมูลทั้งหมดได้รับการเข้ารหัสแล้ว เพย์โหลดจะแสดงคำเตือนแก่ผู้ใช้ที่กระตุ้นให้พวกเขาชำระเงินเพื่อให้ได้ข้อมูลกลับคืนมาและเก็บรักษาไว้อย่างปลอดภัย

วิธีการทำงานของ Hive คือไม่เพียงแค่เข้ารหัสข้อมูลและขอค่าไถ่เพื่อคืนให้เท่านั้น กลุ่มนี้ยังดำเนินการเว็บไซต์ที่เข้าถึงได้ผ่านเบราว์เซอร์ของ Tor ซึ่งสามารถแบ่งปันข้อมูลที่ละเอียดอ่อนของบริษัทต่างๆ ได้หากพวกเขาไม่ยินยอมที่จะจ่ายเงิน นั่นทำให้เกิดความเร่งด่วนเพิ่มเติมสำหรับผู้เสียหายที่ต้องการให้ข้อมูลสำคัญถูกเก็บเป็นความลับ

ตามรายงานของทีมนิติเวชวาโรนิส ใช้เวลาไม่ถึง 72 ชั่วโมงนับจากการใช้ประโยชน์ครั้งแรกของ ช่องโหว่ Microsoft Exchange Server ต่อผู้โจมตีในที่สุดก็บรรลุเป้าหมายที่ต้องการโดยเฉพาะ กรณี.

หากองค์กรของคุณใช้ Microsoft Exchange Server คุณจะต้องตรวจสอบให้แน่ใจว่าคุณได้ติดตั้งแพตช์ล่าสุด เพื่อป้องกันจากการโจมตีแรนซัมแวร์ระลอกนี้ โดยทั่วไปแล้ว เป็นความคิดที่ดีที่จะคอยอัปเดตให้มากที่สุดเท่าที่จะเป็นไปได้ โดยคำนึงถึงช่องโหว่ที่มักเกิดขึ้น เปิดเผยหลังจากออกแพตช์แล้ว ทำให้ระบบที่ล้าสมัยเปิดให้ผู้โจมตีเข้าถึงได้ เป้า.

แหล่งที่มา: วาโรนิส

ทาง: ซดีเน็ต