Ransomware Conti está hackeando servidores Exchange

Views: 262
0 0
Read Time:3 Minute, 31 Second

A gangue do ransomware está invadindo servidores de e-mail da Microsoft e violando redes corporativas usando vulnerabilidades no proxy do shell do software

A gangue do ransomware Conti está invadindo servidores Microsoft Exchange e violando redes corporativas usando vulnerabilidades no proxy do shell do software servidor de e-mail divulgadas recentemente.

ProxyShell é o nome de uma exploração que utiliza três vulnerabilidades do Exchange encadeadas (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) que permitem a execução remota de código não autenticado em servidores vulneráveis ​​sem patch. Essas três vulnerabilidades foram descobertas por um pesquisador da empresa de segurança da informação Devcore.

Embora a Microsoft tenha corrigido essas vulnerabilidades em maio, detalhes técnicos sobre a exploração das vulnerabilidades foram publicados recentemente, permitindo que os agentes de ameaças comecem a usá-los em ataques.

Na semana passada, a Sophos esteve envolvida em um caso de resposta a incidentes em que a gangue do Conti criptografou um cliente da empresa. Depois de analisar o ataque, a fornecedora de soluções de cibersegurança descobriu que os operadores da ameaça comprometeram inicialmente a rede usando as vulnerabilidades recentemente divulgadas no proxy do shell do Exchange.

Como os ataques mais recentes ao Exchange, os hackers primeiro soltam shells da web usados ​​para executar comandos, baixar software e comprometer ainda mais o servidor. Assim que obtêm controle total do servidor, a Sophos observou máquinas caindo rapidamente em suas táticas padrão, conforme descrito no material de treinamento Conti que vazou recentemente.

Essa rotina inclui obter listas de administradores de domínio e computadores, despejar o LSASS (Local Security Authority Subsystem Service, ou serviço do subsistema de autoridade de segurança local) para obter acesso às credenciais de administrador e se espalhar lateralmente por toda a rede para outros servidores.

À medida que os operadores da ameaça comprometem vários servidores, eles instalam várias ferramentas para fornecer acesso remoto aos dispositivos, como os beacons AnyDesk e Cobalt Strike.

Depois de ganhar uma posição na rede, os atores da ameaça roubaram dados não criptografados e os carregaram para o servidor de compartilhamento de arquivos Mega. Após cinco dias, eles começaram a criptografar dispositivos na rede de um servidor sem proteção.

O que fez esse caso específico se destacar foi a velocidade e a precisão com que o grupo conduziu o ataque, que levou apenas 48 horas desde a violação inicial até o roubo de 1 TB de dados. “48 horas após obter esse acesso inicial, os invasores haviam vazado cerca de 1 Terabyte de dados. Depois de cinco dias, eles implantaram o ransomware Conti em todas as máquinas da rede, visando especificamente compartilhamentos de rede individuais em cada computador”, explicou Sophos em seu relatório.

Segundo a empresa, durante a invasão, as afiliadas do Conti instalaram nada menos que sete backdoors na rede: dois shells da web, Cobalt Strike, e quatro ferramentas comerciais de acesso remoto, o AnyDesk, Atera, Splashtop e o Remote Utilities. “Os shells da web, instalados no início, foram usados ​​principalmente para o acesso inicial; Cobalt Strike e Any Desk foram as principais ferramentas usadas para o restante do ataque”, diz o relatório.

Atualize os servidores Exchange

Ao conduzir ataques usando o proxy do shell, os hackers direcionam o serviço de descoberta automática fazendo solicitações como:

https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com

Para verificar se o Exchange Server foi direcionado, o administrador pode examinar os logs do Internet Information Services (IIS) para solicitações para “/autodiscover/autodiscover.json” com e-mails estranhos ou desconhecidos.

No caso observado pela Sophos, os operadores do Conti utilizaram um e-mail @ evil.corp, o que deve facilmente destacar as tentativas de exploit.

O fato é que as vulnerabilidades no proxy do shell estão sendo usadas por uma ampla gama de operadores de ameaças, e todos os administradores de servidor do Microsoft Exchange precisam aplicar as atualizações cumulativas mais recentes para permanecer protegidos. Infelizmente, isso significará um tempo de inatividade do e-mail à medida que as atualizações forem instaladas. No entanto, isso é muito melhor do que o tempo de inatividade e as despesas que um ataque de resgate bem-sucedido incorrerá. Com informações do BleepingComputer.

FONTE: CISO ADVISOR

Previous post Este malware fica armazenado na memória da placa de vídeo e não é detectado por antivírus
Next post Estudo traça perfil da vítima padrão de ransomware

Deixe um comentário