CISO Advisor: 243.905 page views/mês - 91.122 usuários/mês - 5.288 assinantes

computer-1574533_1280.jpg

Servidores Exchange hackeados para instalar ransomware

Da Redação
01/12/2021

A gangue de ransomware BlackByte está usando vulnerabilidades de ProxyShell para violar redes corporativas e explorar servidores Microsoft Exchange. ProxyShell é o nome de um conjunto de três vulnerabilidades do Exchange que permitem a execução remota de código, não autenticada, no servidor quando encadeadas.

As vulnerabilidades, já corrigidas por atualizações de segurança lançadas em abril e maio, foram identificadas como CVE-2021-34473 (patch foi liberado em abril); CVE-2021-34523, que permite a elevação de privilégio no back-end do Exchange PowerShell (corrigida em abril); e CVE-2021-31207, que permite a execução remota de código (corrigida em maio).

Desde que os pesquisadores revelaram as vulnerabilidades, os operadores de ameaças começaram a explorá-las para violar servidores e instalar web shells, mineradores de moedas e ransomware.

Em um relatório detalhado da Red Canary, fornecedora de soluções de segurança para operações, os pesquisadores analisaram um ataque de ransomware do grupo BlackByte em que exploravam as vulnerabilidades do ProxyShell para instalar shells da web em um servidor Exchange comprometido.

Web Shells são pequenos scripts carregados em servidores web que permitem que um operador de ameaça ganhe persistência em um dispositivo e execute comandos remotamente ou carregue arquivos adicionais para o servidor. O shell da web implantado é então utilizado para lançar um sinalizador Cobalt Strike no servidor, injetado no processo do Windows Update Agent.

A ferramenta de teste de penetração amplamente utilizada é então usada para despejar credenciais para uma conta de serviço no sistema comprometido. Finalmente, após assumir a conta, os cibercriminosos instalam a ferramenta de acesso remoto AnyDesk e passam para a fase de movimentação lateral.

Veja isso
Ransomware Conti explora bug em servidores Exchange
Autodiscover do Exchange pode vazar credenciais

Ao conduzir ataques de ransomware, os operadores de ameaças geralmente usam ferramentas de terceiros para obter privilégios elevados ou implantar o ransomware em uma rede. No entanto, o próprio executável do ransomware BlackByte desempenha um papel central, pois lida com o aumento de privilégios e a capacidade de worm, ou realizar movimento lateral, dentro do ambiente comprometido.

O malware define três valores de registro, um para elevação de privilégio local, um para permitir o compartilhamento de conexão de rede entre todos os níveis de privilégio e um para permitir valores de caminho longo para caminhos de arquivo, nomes e namespaces.

Antes da criptografia, o malware exclui a tarefa agendada “Raccine Rules Updater” para evitar interceptações de última hora e também limpa as cópias de sombra diretamente por meio de objetos WMI usando um comando ofuscado do PowerShell.

Finalmente, os arquivos roubados são exfiltrados usando o WinRAR para arquivar arquivos e plataformas anônimas de compartilhamento de arquivos, como “file.io” ou “anonymfiles.com”.

Embora a Trustwave tenha lançado um descriptografador para o ransomware BlackByte em outubro, é improvável que os operadores ainda estejam usando as mesmas táticas de criptografia que permitiam às vítimas restaurar seus arquivos gratuitamente. Dessa forma, a vítima pode ou não restaurar seus arquivos usando esse descriptografador, dependendo de qual chave foi usada no ataque específico.O Red Canary viu múltiplas variantes “novas” do BlackByte à solta, então há claramente um esforço dos operadores do malware para escapar da detecção, análise e descriptografia. Com agências de notícias internacionais e o Bleeping Computer.

Compartilhar: