Une récente attaque de rançongiciel Hive menée par une filiale impliquait l’exploitation des vulnérabilités « ProxyShell » dans Microsoft Exchange Server qui ont été divulguées l’année dernière pour chiffrer le réseau d’un client anonyme.
« L’acteur a réussi à atteindre ses objectifs malveillants et à chiffrer l’environnement en moins de 72 heures à compter de la compromission initiale », a déclaré Nadav Ovadia, chercheur en sécurité chez Varonis. mentionné dans une analyse post-mortem de l’incident.
Hive, qui a été observé pour la première fois en juin 2021, suit le programme lucratif de rançongiciel en tant que service (RaaS) adopté par d’autres groupes cybercriminels ces dernières années, permettant aux affiliés de déployer le logiciel malveillant de cryptage de fichiers après avoir pris pied chez leurs victimes. réseaux.
ProxyShell – suivi en tant que CVE-2021-31207, CVE-2021-34523 et CVE-2021-34473 – implique une combinaison de contournement des fonctionnalités de sécurité, d’élévation des privilèges et d’exécution de code à distance dans le serveur Microsoft Exchange, donnant ainsi à l’attaquant la capacité pour exécuter du code arbitraire sur les serveurs concernés.
Les problèmes ont été résolus par Microsoft dans le cadre de ses mises à jour Patch Tuesday pour avril et mai 2021.
Dans ce cas, l’exploitation réussie des failles a permis à l’adversaire de déployer des shells Web sur le serveur compromis, en les utilisant pour exécuter du code PowerShell malveillant avec les privilèges SYSTEM pour créer un nouvel utilisateur administrateur de porte dérobée, détourner le compte administrateur du domaine et effectuer un mouvement latéral.
Les shells Web utilisés dans l’attaque proviendraient d’un référentiel git public et donné des noms de fichiers contenant un mélange aléatoire de caractères pour échapper à la détection, a déclaré Ovadia. Un autre script PowerShell obscurci faisant partie du framework Cobalt Strike a également été exécuté.
À partir de là, l’auteur de la menace s’est déplacé pour analyser le réseau à la recherche de fichiers précieux, avant de procéder au déploiement de l’exécutable du rançongiciel Golang (nommé « Windows.exe ») pour terminer le processus de cryptage et afficher la note de rançon à la victime.
Les autres opérations effectuées par le logiciel malveillant incluent la suppression des clichés instantanés, la désactivation des produits de sécurité et l’effacement des journaux d’événements Windows pour éviter la détection, empêcher la récupération et garantir que le chiffrement se déroule sans aucun problème.
Au contraire, les résultats sont un autre indicateur que la correction des vulnérabilités connues est essentielle pour contrecarrer les cyberattaques et autres activités néfastes.
« Les attaques de ransomwares ont considérablement augmenté au cours des dernières années et restent la méthode préférée des acteurs de la menace visant à maximiser les profits », a déclaré Ovadia. « Cela peut potentiellement nuire à la réputation d’une organisation, perturber les opérations régulières et entraîner une perte temporaire, voire permanente, de données sensibles. »