A distanza di quasi un anno dalla scoperta delle vulnerabilità ProxyShell, molte aziende non hanno ancora installato le patch per Microsoft Exchange. Ciò ha permesso ai cybercriminali di effettuare nuovi attacchi contro i server vulnerabili, sfruttando il noto ransomware Hive. Ovviamente gli autori minacciano di pubblicare i file online se non viene pagato il riscatto.
Hive colpisce i server Microsoft Exchange
Le tre vulnerabilità ProxyShell di Microsoft Exchange (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207) sono state risolte a maggio 2021, ma gli attacchi continuano ancora oggi. I ricercatori di Varonis hanno pubblicato un report dettagliato che illustra le tecniche utilizzate dai cybercriminali per accedere alle reti delle vittime e installare il ransomware.
L’attacco avviene in cinque fasi. La prima sfrutta i tre bug per installare script backdoor (webshell) in una directory pubblicamente accessibile dei server Exchange. Successivamente viene eseguito codice PowerShell con privilegi SYSTEM e scaricato Cobalt Strike dal server C2C (command and control).
I cybercriminali creano quindi un nuovo utente amministratore e usano Mimikatz per rubare la password dell’account di dominio. A questo punto inizia la ricerca e raccolta delle informazioni sensibili. Infine viene eseguito il ransomware Hive che cifra tutti i file, cancella le copie shadow, resetta i log degli eventi e disattiva le soluzioni di sicurezza.
In ogni directory viene copiato il messaggio che invita a visitare un sito Tor per ricevere informazioni sul riscatto da pagare. Per evitare simili pericoli è ovviamente consigliata l’installazione degli aggiornamenti di Microsoft Exchange. Inoltre devono essere scelte password robuste e bloccato l’uso del vecchio protocollo SMBv1.