Een recente Hive ransomware-aanval uitgevoerd door een gelieerde onderneming betrof de exploitatie van “ProxyShell”-kwetsbaarheden in de Microsoft Exchange Server die vorig jaar werden onthuld om het netwerk van een niet nader genoemde klant te versleutelen.
“De acteur slaagde erin zijn kwaadaardige doelen te bereiken en de omgeving te versleutelen in minder dan 72 uur vanaf het eerste compromis”, zegt Varonis-beveiligingsonderzoeker Nadav Ovadia. zei in een post-mortem analyse van het incident.
Hive, dat voor het eerst werd waargenomen in juni 2021, volgt het lucratieve ransomware-as-a-service (RaaS)-schema dat de afgelopen jaren door andere cybercriminele groepen is aangenomen, waardoor gelieerde ondernemingen de bestandsversleutelende malware kunnen inzetten nadat ze voet aan de grond hebben gekregen bij hun slachtoffers. netwerken.
ProxyShell — bijgehouden als CVE-2021-31207, CVE-2021-34523 en CVE-2021-34473 — omvat een combinatie van bypass van beveiligingsfuncties, escalatie van bevoegdheden en uitvoering van externe code in de Microsoft Exchange Server, waardoor de aanvaller in feite de mogelijkheid krijgt om willekeurige code uit te voeren op de getroffen servers.
De problemen zijn door Microsoft aangepakt als onderdeel van de Patch Tuesday-updates voor april en mei 2021.
In dit geval stelde een succesvolle exploitatie van de fouten de aanvaller in staat om webshells op de gecompromitteerde server te implementeren en deze te gebruiken om kwaadaardige PowerShell-code met SYSTEEM-rechten uit te voeren om een nieuwe backdoor-beheerder te creëren, het domeinbeheerdersaccount te kapen en laterale verplaatsingen uit te voeren.
De webshells die bij de aanval werden gebruikt, zouden afkomstig zijn van a openbare git-repository en gegeven bestandsnamen met een willekeurige mix van tekens om detectie te ontwijken, zei Ovadia. Er werd ook een extra versluierd PowerShell-script uitgevoerd dat deel uitmaakt van het Cobalt Strike-framework.
Van daaruit ging de dreigingsactor het netwerk scannen op waardevolle bestanden, voordat hij verder ging met het implementeren van het uitvoerbare bestand Golang-ransomware (genaamd “Windows.exe”) om het versleutelingsproces te voltooien en het losgeldbriefje aan het slachtoffer te tonen.
Andere bewerkingen die door de malware worden uitgevoerd, zijn onder meer het verwijderen van schaduwkopieën, het uitschakelen van beveiligingsproducten en het wissen van Windows-gebeurtenislogboeken om detectie te voorkomen, herstel te voorkomen en ervoor te zorgen dat de codering zonder enige hapering plaatsvindt.
De bevindingen zijn in ieder geval nog een aanwijzing dat het patchen van bekende kwetsbaarheden de sleutel is tot het afwenden van cyberaanvallen en andere snode activiteiten.
“Ransomware-aanvallen zijn de afgelopen jaren aanzienlijk gegroeid en blijven de voorkeursmethode van bedreigingsactoren die winst willen maximaliseren”, aldus Ovadia. “Het kan de reputatie van een organisatie schaden, de reguliere bedrijfsvoering verstoren en leiden tot tijdelijk en mogelijk permanent verlies van gevoelige gegevens.”
