On sait comment le ransomware Hive cible les organisations !
Un affilié a exploité des vulnérabilités ProxyShell dans le serveur Microsoft Exchange afin d’effectuer une attaque de ransomware Hive. Pendant cette attaque, l’auteur a mis moins de 72 h à partir de la compromission initiale pour arriver à ses fins.
Hive se fait remarquer pour la première fois en juin 2021. Il est similaire au ransomware-as-a-service (RaaS), utilisé par d’autres groupes cybercriminels. Il permet aux affiliés d’accéder à des pratiques d’extorsion.
ProxyShell est composé des vulnérabilités suivantes : CVE-2021-31207, CVE-2021-34523 et CVE-2021-34473. Il permet de contourner des fonctions de sécurité, d’élever des privilèges et d’exécuter des codes à distance dans Microsoft Exchange Server. Cela implique qu’il permet d’accéder à une URL principale arbitraire, donnant à l’attaquant la possibilité d’accéder au système en tant qu’utilisateur privilégié. Ce dernier peut ensuite avoir le contrôle complet sur le système infecté. Cependant, Microsoft a traité le problème dans le cadre de ses mises à jour Patch Tuesday d’avril et mai 2021.
Comment l’auteur a-t-il réussi son attaque ?
Après avoir réussi à exploiter les failles, l’attaquant a pu déployer des shells web sur le serveur touché. Il les a ensuite utilisés pour exécuter le code PowerShell malveillant avec des privilèges SYSTEM. Cela lui a permis de créer un nouvel utilisateur administrateur backdoor, de détourner le compte administrateur de domaine et d’effectuer un mouvement latéral.
Selon Nadav Ovadia, chercheur en sécurité de Varonis, les web shells à l’origine de l’attaque résulteraient d’un dépôt git public. Les noms de fichiers renferment un mélange aléatoire de caractères afin d’éviter d’être détecté. Un autre script PowerShell obfusqué a également été exécuté.
À partir de là, l’auteur de l’acte malveillant peut chercher des fichiers précieux dans le réseau. Il exécute ensuite le ransomware Golang nommé Windows.exe afin de finir le processus de chiffrement et afficher la demande de rançon à la victime.
Un logiciel à fonctions multiples
Ce logiciel malveillant a la capacité d’effectuer d’autres opérations. Il peut supprimer des copies d’ombre, désactiver des produits de sécurité et effacer des journaux d’événements de Windows. Ainsi, cela lui évite d’être détecté, empêche la récupération et garantit le bon déroulement du cryptage.
Ces résultats prouvent qu’il est primordial de mettre en place des correctifs aux vulnérabilités. On pourra ainsi déjouer, voire éviter les cyberattaques, mais aussi les autres activités néfastes.
« Les attaques par ransomware se sont considérablement développées ces dernières années et restent la méthode préférée des acteurs de la menace visant à maximiser les profits. Elles peuvent potentiellement nuire à la réputation d’une organisation, perturber les opérations régulières et entraîner une perte temporaire, voire permanente, de données sensibles. »
Nadav Ovadia
SOURCE : THEHACKERNEWS
