Gang hakerów Conti skutecznie wykorzystuje luki ProxyShell w Microsoft Exchange Server do zdalnego przejmowania kontroli nad sieciami oraz szyfrowania danych celem wyłudzenia okupu. ProxyShell to łańcuch ataków, który może posłużyć do zdalnego uruchamiania dowolnych poleceń na niezaktualizowanych serwerach Exchange bez potrzeby uwierzytelniania.

Conti to zespół hakerów zajmujących się oprogramowaniem ransomware. Zgodnie z informacjami FBI, gang jest zamieszany w ponad 400 głośnych cyberataków z wymuszeniami sięgającymi 25 milionów dolarów.

Eksperci z Sophos zauważyli, że obecne ataki Conti sprowadzają się do bardzo szybkiego działania – wdrożenia oprogramowania ransomware w ciągu zaledwie paru godzin, a nie tygodni jak to było dotychczas.

Hakerzy poprzez oprogramowanie ransomware uzyskują dostęp do atakowanej sieci i konfigurują zdalną powłokę WebShell – już nawet w mniej niż minutę. Następnie instalują dodatkową powłokę, która działa jak kopia zapasowa. Po około kilkudziesięciu minutach atakujący wykonując rekonesans, kompletując listę komputerów, kontrolerów domen i admiratorów. Kolejnych kilkadziesiąt minut zajmuje pozyskanie danych uwierzytelniających do kont adminów domeny w sieci. Przez kolejnych kilkanaście godzin hakerzy są w stanie eksfiltrować potężne ilości danych celem ich zaszyfrowania.

Analiza Sophos wykazuje, że Conti atakując, wraz z powłokami webshell instaluje narzędzia do pentestingu takie jak Cobalt Strike, AnyDesk, Atera czy Remote Utilities.

Narzędzia Conti Ransomware. Źródło SophosLabs

Aktualizacja Microsoft Exchange Server „na już”

Microsoft wyeliminował podatności (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207), dostarczając aktualizację oprogramowania z końcem pierwszego kwartału 2021. Niestety nadal wiele organizacji pomija aktualizuję serwera Exchange głównie z racji na związany z nią przestój poczty e-mail.

Pomyślne wejście do sieci, umożliwia hakerom stworzenie nowej skrzynki pocztowej „admina” oraz nowej roli z użyciem Microsoft Exchange „cmdlet”, co pozwala na zdalne wykonywanie poleceń w powłoce. Następnie atakujący tworzy powłokę internetowa w adresie hosta lokalnego serwera i wykonuje skrypt PowerShell zakodowany w base64. W kolejnym kroku ataku, wykorzystywany jest Service Control Manager do wyszukiwania katalogów, w miejscu gdzie zainstalowano powłokę webshell.

W momencie zebrania odpowiednich informacji, atakujący uruchamia plik wykonywalny SVN.exe, który nawiązuje połączenie z serwerem C2. Atakujący z użyciem złamanego konta administratora, zestawiają połączenie RDP, ściągając AnyDesk. Następnie instalują narzędzia do kopiowania plików Rclone, przenoszą dane do serwisu Mega wraz z adresami zdalnych dysków, nazwami użytkowników i hasłami. Finalnie intruzi wdrażają oprogramowanie ransomware i rozpoczynają szyfrowanie plików. Całość operacji trwa nie więcej niż 5 dni.

ProxyShell i związane z nim luki w Microsoft Exchange są obecnie dość częstym i potężnym narzędziem w rękach hakerów do wykonywania udanych ataków.

Bezwzględnie zalecamy jak najszybszą aktualizację z użyciem aktualnych patchów.