Pesquisar

Microsoft diz que ações de ransomware contra o Exchange têm sido ‘limitadas’

A Microsoft emitiu nota afirmando que a atividade de ransomware contra servidores Exchange on premises comprometidos continua limitada, mas alerta as organizações de que o perigo ainda está longe de sair do radar.

A gigante do software está orientando as empresas que corrigiram as quatro falhas no Exchange que também realizem ações de remediação para garantir que webshells (interfaces maliciosas baseadas na web que permitem o acesso remoto ou o controle do servidor web) ou outras backdoors (portas dos fundos) não sejam deixadas para trás em uma atualização.

Os invasores estão coletando credenciais para possível uso posterior, portanto, mesmo que a empresa tenha corrigido seus servidores, os riscos de comprometimento no longo prazo permanecem, acrescenta a empresa. Esses riscos incluem ataques de ransomware, infiltrações de criptominer ou invasores movendo-se lateralmente para as redes das organizações.

“Muitos dos sistemas comprometidos ainda não receberam uma ação secundária, mas, como ataques de ransomware operados por humanos ou exfiltração de dados continuam, os invasores podem estar estabelecendo e mantendo o acesso para possíveis ações posteriores”, escreve a equipe 365 Defender Threat Intelligence da Microsoft em um blog. Isso significa que as organizações precisam garantir que todas as portas dos fundos sejam removidas.

Na semana passada, a Agência de Segurança Cibernética e Infraestrutura dos EUA lançou dois novos relatórios de análise de malware descrevendo variações do webshell China Chopper observadas em servidores Exchange comprometidos.

A Microsoft prevê que os sistemas que ainda possuem backdoors “se tornarão parte da complexa economia do cibercriminoso, onde operadores de ransomware adicionais e afiliados tirarão proveito disso”.

Embora alguns dos ransomware implantados observados até agora tenham sido em pequena escala ou com bugs, grupos mais habilidosos podem aproveitar credenciais já roubadas para novos ataques, diz a Microsoft. “Se o servidor não estiver rodando em uma configuração de privilégio mínimo, o roubo de credencial pode fornecer um retorno significativo sobre o investimento para um invasor, além de seu acesso inicial a e-mail e dados”, diz a Microsoft.

No radar: o Pydomer Ransomware

A família de ransomware Pydomer, que tinha como alvo as vulnerabilidades do Pulse Secure VPN, teve um início tardio na segmentação dos servidores Exchange, diz a Microsoft. Sua atividade começou para valer entre 18 e 20 de março, e o grupo lançou webshells em pelo menos 1.500 sistemas. Mas nem todos esses sistemas foram resgatados.

O Pydomer despeja o conteúdo da memória do Local Security Authority Subsystem Service (LSASS), que é um processo do Windows que contém nomes de usuários e senhas locais. Conforme observado pela empresa de segurança Deep Instinct, os dumps LSASS eram uma técnica regular usada pela botnet Trickbot.

“As credenciais altamente privilegiadas obtidas de um sistema Exchange provavelmente contêm contas de administrador de domínio e contas de serviço com privilégios de backup, o que significa que esses invasores podem executar ações de ransomware e exfiltração contra as redes que comprometeram muito depois de o servidor Exchange ser corrigido e até mesmo entrar por meio de outras”, escreve a Microsoft.

Veja isso
Exploits do Exchange agora são usados por botnet para minerar criptomoeda
Microsoft lança ferramenta para patch do Exchange em PMEs

A Microsoft também descreve uma luta contínua entre grupos de ataque pelo controle de servidores Exchange comprometidos. Ele destaca o exemplo do Lemon Duck, botnet que usa máquinas comprometidas para minerar criptomoedas. O Lemon Duck não despeja um webshell depois de comprometer um sistema. Em vez disso, ele usa métodos sem arquivo e sem shell, empregando comandos diretos do PowerShell.

Em um caso, o Lemon Duck atingiu um sistema que tinha um webshell colocado por outro grupo, diz a Microsoft. O Lemon Duck então removeu o acesso desse operador da ameaça e mitigou CVE-2021-26855, a falha de falsificação de solicitação do lado do servidor, com um script de limpeza legítimo para que ninguém mais pudesse explorá-lo.

“Esta ação impede a exploração adicional do servidor e remove os shells da web, dando ao Lemon Duck acesso exclusivo ao servidor comprometido”, escreve a Microsoft. “Isso enfatiza a necessidade de investigar completamente os sistemas que foram expostos, mesmo que tenham sido totalmente corrigidos e mitigados, de acordo com o processo tradicional de resposta a incidentes.”

A Microsoft corrigiu as quatro vulnerabilidades na versão on premises do Exchange Server em 2 de março. Naquela época, o RiskIQ estimou que cerca de 400 mil servidores Exchange estavam vulneráveis. Até quinta-feira, 25, a Microsoft diz que mais de 92%, ou cerca de 368 mil, haviam sido corrigidos ou atenuados.

Os servidores Exchange foram atacados agressivamente a partir de 26 de fevereiro. A Microsoft atribuiu a atividade inicial a um grupo suspeito com base na China, apelidado de Hafnium, mas outras empresas de segurança notaram até meia dúzia de grupos de hackers atacando servidores Exchange antes do patch.

Antes de a Microsoft lançar patches, a Fundação Shadowserver disse que detectou que 68 mil IPs distintos de servidores Exchange haviam sido comprometidos. Isso sugere que as informações sobre as vulnerabilidades, que foram descobertas pela empresa de testes de penetração de Taiwan Devcore, podem ter vazado. Outra possibilidade é que as vulnerabilidades possam ter sido descobertas em paralelo por outros grupos.No entanto, a Microsoft está investigando se um vazamento pode ter ocorrido por meio de um parceiro em seu Programa de Proteção Ativa.