Ransomware: ecco i primi attacchi che sfruttano le vulnerabilità di Exchange Server

Another ICT Guy

Ransomware: ecco i primi attacchi che sfruttano le vulnerabilità di Exchange Server

Le realtà che usano Microsoft Exchange Server hanno un nuovo motivo di preoccupazione, come se già non bastassero le falle emerse nelle scorse settimane e l’inasprirsi delle azioni degli hacker volte a sfruttarle. Sono infatti stati individuati i primi ransomware che vanno a colpire proprio quei sistemi che sono stati toccati dal problema.

E’ la stessa Microsoft che segnala una nuova famiglia di ransomware – Win32/DoejoCrypt.A o più comunemente “DearCry” – che risulta essere stata implementata in un momento successivo alla compromissione iniziale dei server. E’ invece la società di sicurezza Kryptos Logic a dichiarare di aver individuato i primi server Exchange, tra quelli compromessi dal gruppo Hafnium, infettati dal ransomware.

“Abbiamo scoperto 6970 webshell esposte pubblicamente e allestite da attori che sfruttano le vulnerabilità di Exchange. Queste shell vengono utilizzate per distribuire ransomware” afferma Kryptos Logic. Le webshell sono backdoor che permettono agli aggressori di usare un’interfaccia basata sul browser per eseguire comandi e codice dannoso sui sistemi compromessi. Le webshell sono state installate inizialmente dal gruppo Hafnium. Chiunque conosca o riuscisse a risalire all’URL di una di queste webshell, che sono accessibili pubblicamente, sarà in grado di ottenere il controllo completo sul server violato.

Sono proprio queste webshell che gli hacker alle spalle di DearCry stanno utilizzando per distribuire il loro ransomware, anche se è bene osservare che non tutti i quasi 7000 server esposti tramite webshell sono stati colpiti da DearCry. La diffusione di questo ransomware è ulteriore dimostrazione del fatto che non è sufficiente installare le patch che Microsoft ha messo a disposizione per tappare le falle di Exchange Server, ma è necessario procedere ad un’analisi dei sistemi per verificare se vi siano prove di compromissione come, ad esempio, la presenza delle già citate webshell e procedere nel caso ad una azione di bonifica.

Intanto del ransomware DearCry si conoscono pochi dettagli. La società di Sicurezza Sophos ha analizzato alcuni elementi del ransomware spiegando che è costruito su un sistema crittografico a chiave pubblica, con la chiave incorporata nel file che lo installa. In questo modo è possibile effettuare la crittografia dei file sul sistema colpito senza che questo debba essere connesso ad un server di comando e controllo.

Kryptos Logic ha riscontrato poi che gli attacchi sono condotti manualmente, e cioè i ransomware vengono installati da un operatore umano su un server Exchange alla volta. Di fatto sono i primi attori criminali che sfruttano il lavoro fatto da Hafnium per inserirsi nelle reti compromesse.

Fonte: http://feeds.hwupgrade.it/

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *