Brutte notizie in casa Microsoft. I server del suo servizio di posta elettronica Microsoft Exchange sono stati colpiti da un attacco ransomware Hive, lo stesso che il mese scorso aveva attaccato le Ferrovie dello Stato bloccando le biglietterie.
Hive ha colpito i server Microsoft Exchange vulnerabili ai problemi di sicurezza ProxyShell, implementando varie backdoor compreso il Beacon Cobalt Strike. In questo modo gli hacker riescono ad entrare in possesso delle credenziali di account amministratori, rubando dati e crittografando i file.
Le vulnerabilità ProxyShell di Microsoft Exchange permettono di eseguire codice in remoto, senza bisogno di autenticazione e sono stati colpiti da svariati ransomware, tra cui ci sono BlackByte, LockFile, Conti, Cuba e Babuk tutti segnalati con gravità alta e critica. Nonostante queste vulnerabilità sia state corrette a maggio 2021, il fatto che Hive sia riuscita nel suo intento mostra come siano ancora presenti falle di sicurezza nei server.
Gli hacker dietro l’attacco a Microsoft hanno inserito quattro shell Web, che si trovano in un repository pubblico su GitHub, in una directory di Microsoft Exchange e tramite comandi PowerShell con privilegi elevati hanno scaricato file dannosi nel server, tra cui parte del framework Cobalt Strike. A quel punto hanno utilizzato Mimikatz per rubare password di un account amministratore, potendo così ottenere un accesso privilegiato ad altre risorse in rete e ricercare dati importanti con lo scopo di spingere la vittima a pagare un riscatto. Una volta ottenuti i dati desiderati, gli hacker hanno distribuito un file denominato “windows.exe”, che altro non era che il playload del ransomware, che ha cancellato le copie shadow, disattivato Windows Defender, eliminato i registri eventi di Windows e terminato la Gestione account di sicurezza disabilitando tutti gli avvisi.
Un’analisi approfondita del ransomware è stata effettuata da Varonis, una società che si occupa di analisi della sicurezza, dopo che è stata incaricata da un suo cliente a seguito di un attacco. Hive è stato scoperto a giugno 2021 e si bassa sulla modello “ransomware-as-a-service" che ha portato ad un aumento degli attacchi. Come sempre, vi ricordiamo che per difendervi al meglio da questi pericoli dovreste adottare uno dei migliori antivirus per proteggersi dai ransomware, oltre che affidarvi al buonsenso e non aprire mail o file che vi sembrano sospetti.