Microsoft Exchange Server'ın eski sürümlerini kullanan şirketler, Hive tarafından koordine edilen yeni bir fidye yazılımı saldırısıyla gasp ediliyor.
Her gün, bazılarıyla ilgili bir haber varmış gibi görünüyor Microsoft ürünündeki büyük güvenlik sorunuve bugün Microsoft'un Exchange Sunucusu başka bir sunucunun merkezinde yer alıyor gibi görünüyor. Microsoft Exchange Server müşterileri, Hive tarafından gerçekleştirilen bir fidye yazılımı saldırısı dalgasının hedefi oluyor. işletmeleri ve her türlü kuruluşu hedef alan, iyi bilinen bir hizmet olarak fidye yazılımı (RaaS) platformu.
Saldırı, Microsoft Exchange Server'da ProxyShell olarak bilinen bir dizi güvenlik açığından yararlanıyor. Bu, saldırganların etkilenen sistemlerde uzaktan kod çalıştırmasına olanak tanıyan kritik bir uzaktan kod yürütme güvenlik açığıdır. ProxyShell şemsiyesi altındaki üç güvenlik açığı Mayıs 2021 itibarıyla yamalanmış olsa da birçok işletmenin yazılımlarını olması gerektiği sıklıkta güncellemediği biliniyor. Bu nedenle, bu saldırıları ilk kez bildiren Varonis Adli Tıp Ekibi ile konuşan biri de dahil olmak üzere çeşitli müşteriler etkileniyor.
Saldırganlar, ProxyShell güvenlik açıklarından yararlandıktan sonra, hedeflenen Exchange sunucusundaki genel bir dizine bir arka kapı web komut dosyası yerleştirir. Bu komut dosyası daha sonra istenen kötü amaçlı kodu çalıştırır ve bu kod daha sonra bir komut ve kontrol sunucusundan ek aşama dosyaları indirir ve bunları çalıştırır. Saldırganlar daha sonra yeni bir sistem yöneticisi oluşturur ve Mimikatz'ı kullanarak NTLM karma değerini çalar. karma yoluyla kimsenin şifresini bilmeden sistemin kontrolünü ele geçirmelerine olanak tanır teknik.
Her şey yerli yerindeyken, kötü niyetli aktörler hassas ve potansiyel olarak önemli dosyalar için tüm ağı taramaya başlar. Son olarak, tüm verileri şifrelemek için özel bir veri (yanıltıcı bir şekilde Windows.exe adı verilen bir dosya) oluşturulur ve dağıtılır. verilerin yanı sıra olay günlüklerini temizleyin, gölge kopyaları silin ve diğer güvenlik çözümlerini devre dışı bırakarak verilerin kalmasını sağlayın tespit edilemedi. Tüm veriler şifrelendikten sonra yük, kullanıcılara verilerini geri almak ve güvende tutmak için ödeme yapmalarını isteyen bir uyarı görüntüler.
Hive'ın çalışma şekli, yalnızca verileri şifrelememesi ve onu geri vermek için fidye istememesidir. Grup ayrıca, ödemeyi kabul etmemeleri halinde şirketlerin hassas verilerinin paylaşılabileceği, Tor tarayıcısı üzerinden erişilebilen bir web sitesi de işletiyor. Bu, önemli verilerin gizli kalmasını isteyen mağdurlar için ek bir aciliyet yaratıyor.
Varonis Adli Tıp Ekibi'nin raporuna göre, yazılımın ilk kez kullanılmasından itibaren 72 saatten az bir süre geçti. Saldırganların sonuçta istedikleri hedefe belirli bir şekilde ulaşmalarına yönelik Microsoft Exchange Server güvenlik açığı dava.
Kuruluşunuz Microsoft Exchange Server'a güveniyorsa, bu fidye yazılımı saldırı dalgasından korunmak için en son yamaların yüklü olduğundan emin olmak isteyeceksiniz. Güvenlik açıklarının sıklıkla mevcut olduğu göz önüne alındığında mümkün olduğunca güncel kalmak genellikle iyi bir fikirdir. Yamalar yayınlandıktan sonra ortaya çıkar ve güncelliğini yitirmiş sistemleri saldırganların erişimine açık bırakır. hedef.
Kaynak: Varonis
Aracılığıyla: ZDNet