A gangue do ransomware está invadindo servidores de e-mail da Microsoft e violando redes corporativas usando vulnerabilidades no proxy do shell do software
A gangue do ransomware Conti está invadindo servidores Microsoft Exchange e violando redes corporativas usando vulnerabilidades no proxy do shell do software servidor de e-mail divulgadas recentemente.
ProxyShell é o nome de uma exploração que utiliza três vulnerabilidades do Exchange encadeadas (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) que permitem a execução remota de código não autenticado em servidores vulneráveis sem patch. Essas três vulnerabilidades foram descobertas por um pesquisador da empresa de segurança da informação Devcore.
Embora a Microsoft tenha corrigido essas vulnerabilidades em maio, detalhes técnicos sobre a exploração das vulnerabilidades foram publicados recentemente, permitindo que os agentes de ameaças comecem a usá-los em ataques.
Na semana passada, a Sophos esteve envolvida em um caso de resposta a incidentes em que a gangue do Conti criptografou um cliente da empresa. Depois de analisar o ataque, a fornecedora de soluções de cibersegurança descobriu que os operadores da ameaça comprometeram inicialmente a rede usando as vulnerabilidades recentemente divulgadas no proxy do shell do Exchange.
Como os ataques mais recentes ao Exchange, os hackers primeiro soltam shells da web usados para executar comandos, baixar software e comprometer ainda mais o servidor. Assim que obtêm controle total do servidor, a Sophos observou máquinas caindo rapidamente em suas táticas padrão, conforme descrito no material de treinamento Conti que vazou recentemente.
Essa rotina inclui obter listas de administradores de domínio e computadores, despejar o LSASS (Local Security Authority Subsystem Service, ou serviço do subsistema de autoridade de segurança local) para obter acesso às credenciais de administrador e se espalhar lateralmente por toda a rede para outros servidores.
À medida que os operadores da ameaça comprometem vários servidores, eles instalam várias ferramentas para fornecer acesso remoto aos dispositivos, como os beacons AnyDesk e Cobalt Strike.
Depois de ganhar uma posição na rede, os atores da ameaça roubaram dados não criptografados e os carregaram para o servidor de compartilhamento de arquivos Mega. Após cinco dias, eles começaram a criptografar dispositivos na rede de um servidor sem proteção.
O que fez esse caso específico se destacar foi a velocidade e a precisão com que o grupo conduziu o ataque, que levou apenas 48 horas desde a violação inicial até o roubo de 1 TB de dados. “48 horas após obter esse acesso inicial, os invasores haviam vazado cerca de 1 Terabyte de dados. Depois de cinco dias, eles implantaram o ransomware Conti em todas as máquinas da rede, visando especificamente compartilhamentos de rede individuais em cada computador”, explicou Sophos em seu relatório.
Segundo a empresa, durante a invasão, as afiliadas do Conti instalaram nada menos que sete backdoors na rede: dois shells da web, Cobalt Strike, e quatro ferramentas comerciais de acesso remoto, o AnyDesk, Atera, Splashtop e o Remote Utilities. “Os shells da web, instalados no início, foram usados principalmente para o acesso inicial; Cobalt Strike e Any Desk foram as principais ferramentas usadas para o restante do ataque”, diz o relatório.
Atualize os servidores Exchange
Ao conduzir ataques usando o proxy do shell, os hackers direcionam o serviço de descoberta automática fazendo solicitações como:
Para verificar se o Exchange Server foi direcionado, o administrador pode examinar os logs do Internet Information Services (IIS) para solicitações para “/autodiscover/autodiscover.json” com e-mails estranhos ou desconhecidos.
No caso observado pela Sophos, os operadores do Conti utilizaram um e-mail @ evil.corp, o que deve facilmente destacar as tentativas de exploit.
O fato é que as vulnerabilidades no proxy do shell estão sendo usadas por uma ampla gama de operadores de ameaças, e todos os administradores de servidor do Microsoft Exchange precisam aplicar as atualizações cumulativas mais recentes para permanecer protegidos. Infelizmente, isso significará um tempo de inatividade do e-mail à medida que as atualizações forem instaladas. No entanto, isso é muito melhor do que o tempo de inatividade e as despesas que um ataque de resgate bem-sucedido incorrerá. Com informações do BleepingComputer.
FONTE: CISO ADVISOR