Server Microsoft Exchange sfruttati per distribuire il ransomware Hive

Server Microsoft Exchange sfruttati per distribuire il ransomware Hive

Sfruttato un insieme di vulnerabilità scoperte lo scorso anno e per la quale esistono già le patch correttive. Ennesima dimostrazione della necessità di aggiornare tempestivamente i sistemi

di pubblicata il , alle 14:21 nel canale Sicurezza
 

La società di sicurezza Varonis ha individuato, nel contesto delle indagini su un attacco ransomware ad uno dei suoi clienti, la presenza delle vulnerabilità ProxyShell su alcuni server Microsoft Exchange, che vengono sfruttate per la diffusione del ransomware Hive.

ProxyShell è un insieme di tre vulnerabilità a carico di Microsoft Exchange Server che può consentire l'esecuzione di codice da remoto e senza autenticazione su quelle distribuzioni che sono vulnerabili. Si tratta di falle che sono state ampiamente utilizzate da vari attori di minaccia come Babuk, BlackByte, Conti, Cuba e LockFile una volta che le modalità di sfruttamento sono diventate di pubblico dominio.  Hive è un ransomware osservato per la prima volta a giugno 2021 e che qualche mese più tardi si è arricchito delle varianti Linux e FreeBSD

Le tre vulnerabilità sono contrassegnate dagli identificativi CVE-2021-34473, CVE-2021-34523 e CVE-2021-31297 con classificazione di gravità da alto a critico. Le vulnerabilità ProxyShell sono però state considerate completamente corrette a partire da un anno fa circa, nel maggio del 2021. I loro dettagli sono divenuti noti nell'agosto del 2021 e poco dopo sono state sfruttate attivamente a scopi dannosi.

In questo caso gli hacker sono riusciti ad inserire quattro shell Web in una directory di Exchange accessibile, eseguendo quindi codice PowerShell con privilegi elevati così da poter scaricare gli stager di Cobalt Strike, la suite di penetration testing che viene frequentemente utilizzata anche per attacchi reali. Gli hacker hanno fatto uso di shell web disponibili pubblicamente su GitHub, rinominandole per evitare che venissero rilevate durante eventuali operazioni di ispezione.

A questo punto è stato usato il famigerato Mimikatz per la sottrazione di credenziali ed entrare in possesso di un account amministratore, così da poter eseguire operazioni cosiddette "laterali", accedendo a più risorse nella rete con l'obiettivo di individuare file e dati preziosi da "prendere in ostaggio" e indurre la vittima a pagare un riscatto sostanzioso. Gli aggressori hanno inoltre usato il payload Golang prima di crittografare i file dell'organizzazione, così da eliminare le shadow copy di Windows, disabilitare Windows Defender, eliminare i registri eventi e altre operazioni atte a sgretolare l'operatività dei sistemi presi di mira. Infine è stata praticata la cifratura dei file con un payload personalizzato dal nome Windows.exe, che nel processo ha creato inoltre un file in testo semplice recante le richieste degli aggressori.

Il fatto che gli aggressori siano riusciti a sfruttare le vulnerabilità ProxyShell può essere un campanello d'allarme per altre realtà che fanno uso di soluzioni Exchange Server che potrebbero essere ancora non aggiornate. Varonis suggerisce di installare immediatamente gli ultimi aggiornamenti cumulative e di adottare una serie di buone pratiche di sicurezza (password complesse, modifica delle password periodica, concessione dei permessi al minimo indispensabile, rilevazioni automatiche di modifiche al controllo degli accessi). I dettagli tecnici sono disponibili qui.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^