Operatorzy ransomware gromadzą się na już zhakowanych serwerach Exchange
Serwery Microsoft Exchange zaatakowane w pierwszej rundzie ataków są po raz drugi infekowane przez gang ransomware, który próbuje zarobić na wielu exploitach, które przyłapały organizacje na całym świecie.
Ransomware – znane jako Black Kingdom, DEMON i DemonWare – żąda 10 000 dolarów za odzyskanie zaszyfrowanych danych, stwierdzili badacze bezpieczeństwa. Szkodliwe oprogramowanie jest instalowane na serwerach Exchange, które zostały wcześniej zainfekowane przez osoby atakujące wykorzystujące krytyczną lukę w programie pocztowym firmy Microsoft. Ataki rozpoczęły się, gdy luka była nadal zerowa. Nawet po wydaniu przez Microsoft poprawki awaryjnej aż 100 000 serwerów, które nie zainstalowały jej na czas, zostało zainfekowanych.
Puka okazja
Hakerzy stojący za tymi atakami zainstalowali powłokę internetową, która umożliwiała każdemu, kto zna adres URL, pełną kontrolę nad zaatakowanymi serwerami. Black Kingdom zostało zauważone w zeszłym tygodniu przez firmę ochroniarską SpearTip. Marcus Hutchins, badacz bezpieczeństwa w firmie ochroniarskiej Kryptos Logic, poinformował w niedzielę o tym złośliwym oprogramowaniu w rzeczywistości nie zaszyfrował plików.
Ktoś właśnie uruchomił ten skrypt na wszystkich podatnych na ataki serwerach Exchange za pośrednictwem luki ProxyLogon. Twierdzi, że jest „oprogramowaniem ransomware” BlackKingdom, ale nie wydaje się, że szyfruje pliki, po prostu upuszcza okup nie do każdego katalogu. pic.twitter.com/POYlPYGjsz
– MalwareTech (@MalwareTechBlog) 21 marca 2021 r
We wtorek rano analityk Microsoft Threat Intelligence, Kevin Beaumont, poinformował, że atak Czarnego Królestwa „rzeczywiście tak jest zaszyfruj pliki.
Oprogramowanie ransomware BlackKingdom na moich osobistych serwerach. Rzeczywiście szyfruje pliki. Wykluczają c: windows, jednak moje sterowniki pamięci masowej znajdowały się w innym folderze i zaszyfrowały je … co oznacza, że serwer nie uruchamia się już. Jeśli czytasz BlackKingdom, wyklucz pliki * .sys pic.twitter.com/nUVUJTbcGO
– Kevin Beaumont (@GossiTheDog) 23 marca 2021 r
Firma ochroniarska Arete również ujawniła w poniedziałek ataki Czarnego Królestwa.
Black Kingdom zostało zauważone w czerwcu ubiegłego roku przez firmę ochroniarską RedTeam. Ransomware przejmowało serwery, którym nie udało się załatać krytycznej luki w oprogramowaniu Pulse VPN. Black Kingdom pojawiło się również na początku ubiegłego roku.
Brett Callow, analityk bezpieczeństwa w Emsisoft, powiedział, że nie jest jasne, dlaczego jeden z ostatnich ataków Czarnego Królestwa nie zaszyfrował danych.
„Pierwotna wersja szyfrowała pliki, podczas gdy następna po prostu zmieniała ich nazwy” – napisał w e-mailu. „Nie jest jasne, czy obie wersje działają jednocześnie. Nie jest też jasne, dlaczego zmienili swój kod – być może dlatego, że proces zmiany nazwy (fałszywego szyfrowania) nie zostałby wykryty ani zablokowany przez produkty zabezpieczające? ”
Dodał, że jedna wersja oprogramowania ransomware wykorzystuje metodę szyfrowania, która w wielu przypadkach umożliwia przywrócenie danych bez płacenia okupu. Poprosił, aby metoda nie była szczegółowo opisana, aby uniemożliwić operatorom oprogramowania ransomware naprawienie błędu.
Patchowanie nie wystarczy
Ani Arete, ani Beaumont nie powiedzieli, czy ataki Black Kingdom uderzały w serwery, które jeszcze nie zainstalowały awaryjnej łatki Microsoftu, czy też atakujący po prostu przejmowali słabo zabezpieczone powłoki internetowe zainstalowane wcześniej przez inną grupę.
Dwa tygodnie temu Microsoft poinformował, że odrębna odmiana oprogramowania ransomware o nazwie DearCry przejmuje serwery zainfekowane przez Hafnium. Hafn to nazwa, którą firma nadała sponsorowanym przez państwo hakerom w Chinach, którzy jako pierwsi użyli ProxyLogon, nazwy nadanej łańcuchowi exploitów, który uzyskuje pełną kontrolę nad podatnymi na ataki serwerami Exchange.
Firma zabezpieczająca SpearTip stwierdziła jednak, że oprogramowanie ransomware atakowało serwery „po wstępnym wykorzystaniu dostępnych luk w zabezpieczeniach wymiany Microsoft”. Grupa instalująca konkurencyjne oprogramowanie ransomware DearCry również przeszła na barana.
Black Kingdom pojawia się, gdy liczba podatnych na ataki serwerów w Stanach Zjednoczonych spadła do mniej niż 10 000, według Politico, która cytuje rzecznika Rady Bezpieczeństwa Narodowego. Na początku tego miesiąca było około 120 000 wrażliwych systemów.
Jak podkreślają kolejne ataki ransomware, łatanie serwerów nie jest nawet w pobliżu pełnego rozwiązania trwającego kryzysu serwerów Exchange. Nawet jeśli serwery zainstalują aktualizacje zabezpieczeń, nadal mogą zostać zainfekowane oprogramowaniem ransomware, jeśli pozostaną jakiekolwiek powłoki internetowe.
Microsoft apeluje do dotkniętych organizacji, które nie mają doświadczonego personelu ds. Bezpieczeństwa, do uruchomienia tego skryptu łagodzącego ryzyko jednym kliknięciem.
