Ransomware: ecco i primi attacchi che sfruttano le vulnerabilità di Exchange Server

Ransomware: ecco i primi attacchi che sfruttano le vulnerabilità di Exchange Server

Le webshell dei server compromessi, installate dal gruppo Hafnium, vengono ora usate da terzi per distribuire un nuovo malware: ecco DearCry

di pubblicata il , alle 18:01 nel canale Sicurezza
 

Le realtà che usano Microsoft Exchange Server hanno un nuovo motivo di preoccupazione, come se già non bastassero le falle emerse nelle scorse settimane e l'inasprirsi delle azioni degli hacker volte a sfruttarle. Sono infatti stati individuati i primi ransomware che vanno a colpire proprio quei sistemi che sono stati toccati dal problema.

E' la stessa Microsoft che segnala una nuova famiglia di ransomware - Win32/DoejoCrypt.A o più comunemente "DearCry" - che risulta essere stata implementata in un momento successivo alla compromissione iniziale dei server. E' invece la società di sicurezza Kryptos Logic a dichiarare di aver individuato i primi server Exchange, tra quelli compromessi dal gruppo Hafnium, infettati dal ransomware.

"Abbiamo scoperto 6970 webshell esposte pubblicamente e allestite da attori che sfruttano le vulnerabilità di Exchange. Queste shell vengono utilizzate per distribuire ransomware" afferma Kryptos Logic. Le webshell sono backdoor che permettono agli aggressori di usare un'interfaccia basata sul browser per eseguire comandi e codice dannoso sui sistemi compromessi. Le webshell sono state installate inizialmente dal gruppo Hafnium. Chiunque conosca o riuscisse a risalire all'URL di una di queste webshell, che sono accessibili pubblicamente, sarà in grado di ottenere il controllo completo sul server violato.

Sono proprio queste webshell che gli hacker alle spalle di DearCry stanno utilizzando per distribuire il loro ransomware, anche se è bene osservare che non tutti i quasi 7000 server esposti tramite webshell sono stati colpiti da DearCry. La diffusione di questo ransomware è ulteriore dimostrazione del fatto che non è sufficiente installare le patch che Microsoft ha messo a disposizione per tappare le falle di Exchange Server, ma è necessario procedere ad un'analisi dei sistemi per verificare se vi siano prove di compromissione come, ad esempio, la presenza delle già citate webshell e procedere nel caso ad una azione di bonifica.

Intanto del ransomware DearCry si conoscono pochi dettagli. La società di Sicurezza Sophos ha analizzato alcuni elementi del ransomware spiegando che è costruito su un sistema crittografico a chiave pubblica, con la chiave incorporata nel file che lo installa. In questo modo è possibile effettuare la crittografia dei file sul sistema colpito senza che questo debba essere connesso ad un server di comando e controllo.

Kryptos Logic ha riscontrato poi che gli attacchi sono condotti manualmente, e cioè i ransomware vengono installati da un operatore umano su un server Exchange alla volta. Di fatto sono i primi attori criminali che sfruttano il lavoro fatto da Hafnium per inserirsi nelle reti compromesse.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
daitarn_316 Marzo 2021, 08:33 #1
"i ransomware vengono installati da un operatore umano su un server Exchange alla volta" il marcio è sempre all'interno !!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^