Компанії, які використовують застарілі версії Microsoft Exchange Server, піддаються вимаганню через нову атаку програм-вимагачів, координовану Hive.
Кожен другий день, здається, є новина про якусь серйозна проблема безпеки продукту Microsoft, а сьогодні здається, що Microsoft Exchange Server знаходиться в центрі іншого. Клієнти Microsoft Exchange Server стають мішенню хвилі атак програм-вимагачів, здійснених Hive, добре відома платформа програм-вимагачів як послуга (RaaS), націлена на підприємства та всілякі організації.
Атака використовує набір уразливостей у Microsoft Exchange Server, відомий як ProxyShell. Це критична вразливість віддаленого виконання коду, яка дозволяє зловмисникам віддалено запускати код на уражених системах. Хоча три вразливості під егідою ProxyShell були виправлені станом на травень 2021 року, добре відомо, що багато компаній не оновлюють своє програмне забезпечення так часто, як слід. Таким чином, постраждали різні клієнти, включно з тим, хто спілкувався з командою криміналістів Varonis, яка першою повідомила про ці атаки.
Скориставшись уразливістю ProxyShell, зловмисники встановлюють бекдорний веб-скрипт у загальнодоступний каталог цільового сервера Exchange. Потім цей сценарій запускає потрібний шкідливий код, який потім завантажує додаткові файли stager із сервера команд і керування та виконує їх. Потім зловмисники створюють нового системного адміністратора та використовують Mimikatz, щоб викрасти хеш NTLM, який дозволяє їм контролювати систему, не знаючи чиїхось паролів через передачу хешу техніка.
Коли все готово, зловмисники починають сканувати всю мережу на наявність конфіденційних і потенційно важливих файлів. Нарешті створюється та розгортається спеціальне корисне навантаження – файл з оманливою назвою Windows.exe – для шифрування всіх даних, а також очистити журнали подій, видалити тіньові копії та вимкнути інші рішення безпеки, щоб залишатися невиявленим. Після того, як усі дані зашифровано, корисне навантаження відображає попередження для користувачів із закликом заплатити, щоб повернути свої дані та зберегти їх у безпеці.
Принцип роботи Hive полягає в тому, що він не просто шифрує дані й вимагає викуп за їх повернення. Група також керує веб-сайтом, доступним через браузер Tor, де можна поділитися конфіденційними даними компаній, якщо вони не погодяться платити. Це створює додаткову терміновість для жертв, які хочуть, щоб важливі дані залишалися конфіденційними.
Відповідно до звіту групи криміналістів Вароніса, від початкової експлуатації знадобилося менше 72 годин. Уразливість Microsoft Exchange Server, що дозволяє зловмисникам зрештою досягти бажаної мети, зокрема справа.
Якщо ваша організація покладається на сервер Microsoft Exchange Server, ви захочете переконатися, що у вас встановлено найновіші виправлення, щоб залишатися захищеним від цієї хвилі атак програм-вимагачів. Загалом доцільно залишатися в курсі останніх, наскільки це можливо, враховуючи, що вразливості часто виявлені після випуску патчів, залишаючи застарілі системи відкритими для зловмисників мета.
Джерело: Вароніс
Через: ZDNet