Los servidores de Microsoft Exchange han sido pirateados

¡Se cuelan en los servidores de Microsoft Exchange!

Piratean los servidores de Microsoft Exchange
Piratean los servidores de Microsoft Exchange

Un ransomware similar a Hive ha estado apuntando a los servidores de Microsoft Exchange vulnerables a los problemas de seguridad de ProxyShell para implementar varias puertas traseras, incluida la baliza Cobalt Strike. A partir de ahí, los delincuentes realizan un reconocimiento de la red, roban las credenciales de la cuenta de administrador, extraen datos valiosos y, en última instancia, implementan la carga útil de cifrado de archivos.

Los detalles de este ataque provienen de la empresa de seguridad y análisis  Varonis , que fue llamada para investigar un ataque de ransomware contra uno de sus clientes.

Piratean los servidores de Microsoft Exchange
Piratean los servidores de Microsoft Exchange

Piratean los servidores de servidores de Microsoft Exchange

Para poneros un poco en situación, los ProxyShell son un conjunto de tres vulnerabilidades en los servidores de Microsoft Exchange que permiten la ejecución remota de código sin autenticación en implementaciones vulnerables.

Cabe mencionar que las fallas de seguridad han sido utilizadas para múltiples amenazas, incluido ransomware como Conti , BlackByte , Babuk , Cuba y LockFile , luego de que las vulnerabilidades estuvieron disponibles. Las fallas se rastrean como CVE-2021-34473, CVE-2021-34523 y CVE-2021-31297, y su calificación de gravedad varía de 7.2 (alta) a 9.8 (crítica).

Supuestamente, estás vulnerabilidades de seguridad se consideran completamente parcheadas a partir de mayo de 2021, pero los detalles técnicos más extensos sobre ellas solo estuvieron disponibles en agosto de 2021, pero poco después comenzó la explotación maliciosa.

Por lo tanto, el hecho de que el afiliado de Hive haya tenido éxito en la reciente explotación de ProxyShell, muestra que todavía hay posibilidades para apuntar a servidores vulnerables.

Cómo se llevo acabo el ataque

Luego de la explotación de ProxyShell, los piratas informáticos colocaron cuatro shells web en un directorio de los servidores de Microsoft Exchange accesible y ejecutaron el código de PowerShell con altos privilegios para descargar Stagers de Cobalt Strike.

Los shells web utilizados en este ataque en particular se obtuvieron de un repositorio público de Git y simplemente se les cambió el nombre para evadir la detección durante las posibles inspecciones manuales.

A partir de ahí, los intrusos utilizaron Mimikatz, un ladrón de credenciales, para arrebatar la contraseña de una cuenta de administrador de dominio y realizar un movimiento lateral, accediendo a más activos en la red. A continuación, los delincuentes realizaron extensas operaciones de búsqueda de archivos para localizar los datos más valiosos y presionar a la víctima para que pagara un rescate mayor.

En el análisis realizado por Varonis, se ha visto que los atacantes han tenido acceso a los escáneres de red descartados, listas de direcciones IP, enumeraciones de dispositivos y directorios, RDP para servidores de respaldo, escaneos de bases de datos SQL y más.

Finalmente, y después de que se extrajeron todos los archivos, se soltó y ejecutó una carga útil de ransomware llamada «Windows.exe» en varios dispositivos.

Antes de cifrar los archivos de la organización, la carga útil de Golang eliminó las instantáneas, deshabilitó Windows Defender, borró los registros de eventos de Windows, eliminó los procesos de vinculación de archivos y detuvo el Administrador de cuentas de seguridad para incapacitar las alertas.