Σύμφωνα με τους ερευνητές ασφάλειας στον κυβερνοχώρο, το Conti χρησιμοποιεί το ProxyShell για να εισβάλει σε διακομιστές του Microsoft Exchange και να θέσει σε κίνδυνο εταιρικά δίκτυα.
Το ProxyShell είναι μια εκμετάλλευση τρωτών σημείων στο Microsoft Exchange που έχουν αποτελέσει αντικείμενο πολλαπλών κρίσιμων ενημερώσεων τους τελευταίους μήνες. Οι τρεις ευπάθειες του Microsoft Exchange που χρησιμοποιούνται από το exploit είναι οι CVE-2021-34473, CVE-2021-34523, CVE-2021-31207. Η Microsoft εξέδωσε διορθώσειςτον Απρίλιο και τον Μάιο του 2021, αλλά πρόσφατα δημοσιεύθηκαν τεχνικές λεπτομέρειες σχετικά με τον τρόπο εκμετάλλευσής τους, επιτρέποντας στους χάκερ να αρχίσουν να τα χρησιμοποιούν σε κυβερνοεπιθέσεις.
Μέχρι αυτό το σημείο, οι εγκληματίες στον κυβερνοχώρο έχουν χρησιμοποιήσει το ProxyShell για webshells, backdoors, και το ransomware LockFile.
Η εταιρεία ασφαλείας Sophos παρατήρησε πρόσφατα ότι οι συνεργάτες της Conti φαίνεται να έχουν επιταχύνει σημαντικά τις επιθέσεις τους, αναπτύσσοντας ransomware σε λίγες μόνο ώρες αντί για εβδομάδες ή μήνες. Η Sophos συμμετείχε σε μια υπόθεση αντιμετώπισης ransomware όπου οι χακερ κρυπτογράφησαν δεδομένα ενός πελάτη. Οι ειδικοί της Sophos ανέλυσαν το περιστατικό και είδαν ότι αρχικά, οι χάκερ παραβίασαν το δίκτυο χρησιμοποιώντας τα τρωτά σημεία του Microsoft Exchange ProxyShell που αποκαλύφθηκαν πρόσφατα.
Σε αυτή την περίπτωση, λίγα λεπτά μετά την εγκατάσταση ενός πρώτου κελύφους ιστού, εγκαταστάθηκε ένα δεύτερο. Μετά από 4 ώρες, οι εγκληματίες στον κυβερνοχώρο είχαν αποκτήσει διαπιστευτήρια λογαριασμών διαχειριστή τομέα και άρχισαν να εκτελούν εντολές.
Μέσα σε 48 ώρες από την απόκτηση πρόσβασης, οι επιτιθέμενοι είχαν κλέψει περίπου 1 terabyte μη κρυπτογραφημένων δεδομένων και τα είχαν ανεβάσει στον διακομιστή κοινής χρήσης αρχείων MEGA. Μέσα σε πέντε ημέρες, ανέπτυξαν το Conti ransomware σε κάθε μηχάνημα του δικτύου.
Κατά τη διάρκεια της επίθεσης επτά πίσω πόρτες έχουν εγκατασταθεί στο δίκτυο:
- two web shells (used for initial access);
- Cobalt Strike (used for the remainder of the attack);
- four commercial remote access tools (AnyDesk, Atera, Splashtop, and Remote Utilities).
Οι εταιρείες που χρησιμοποιούν Exchange Server εσωτερικής εγκατάστασης πρέπει να ενημερώσουν και να επιδιορθώσουν τους διακομιστές τους το συντομότερο δυνατό.
Με πληροφορίες από heimdalsecurity.com
