Qualche giorno fa abbiamo dato notizia di un nuovo ransomware, chiamato LockFile e già in diffusione in Italia, che utilizza la suite di vulnerabilità ProxyShell per bucare i server Microsoft Exchange. Ricordiamo che ProxyShell è un insieme di vulnerabilità che consente, se sfruttate con successo, di ottenere l'accesso non autenticato, quindi l'esecuzione di codice da remoto sui server vulnerabili. Per quanto già patchate da Microsoft, ulteriori dettagli tecnici su queste vulnerabilità sono state pubblicate recentemente, cosa che ha consentito agli attaccanti di usarle di nuovo in attacchi mirati.
Le prime ondate di attacchi che hanno visto l'uso di ProxyShell distribuivano fondamentalmente webshell e backdoor, poi qualche giorno fa è stato individuato in diffusione anche il ransomware LockFile. Ora la fila si allunga, perché anche il ransomware Conti ha iniziato a sfruttare ProxyShell.
Per approfondire > Ransomware Conti: è arrivato il successore di Ryuk?
La scorsa settimana infatti gli esperti di Sophos si sono trovati a gestire la risposta ad un attacco ransomware subito da un cliente: l'analisi dell'attacco ha reso evidenti alcuni punti. Il primo è che gli attaccanti hanno compromesso la rete sfruttando ProxyShell: eseguito con successo l'exploit, hanno scaricando una web shell per eseguire comandi, scaricare software e compromettere quindi il server. Infine hanno usato il controllo completo ottenuto sul server per eseguire una serie di azioni che, viste nel complesso, sono risultate essere la tattica standard in uso agli affiliati del ransomware Conti, come dimostrato dal materiale formativo trapelato qualche settimana fa.
Questa routine di attacco prevede di ottenere la lista degli amministratori di dominio e dei computer, il dumping di LSASS per ottenere le credenziali di amministrazione e quindi di procedere allo spostamento laterale lungo la rete per diffondersi in altri server. Viene quindi indicato di installare, nei vari server compromessi, una serie di tool necessari a fornire l'accesso remoto ai vari dispositivi: parliamo di Anydesk o del beacon di Cobalt Strike.
 |
| L'elenco dei tool utilizzati durante l'attacco analizzato. Fonte: SophosLabs |
A questo punto hanno proceduto al furto di dati non criptati, che sono finiti caricati sul servizio di sharing MEGA. La routine di criptazione vera e propria è stata attivata ben 5 giorni dopo tutte queste operazioni preliminari, a partire da un server non protetto da antivirus.
Ciò che ha fatto drizzare le antenne su questo attacco, oltre alla scoperta che anche Conti utilizza ProxyShell, sono stati la particolare velocità e precisione con la quale il gruppo di attaccanti ha proceduto all'attacco: sono trascorse meno di 48h dal breach iniziale al furto di oltre 1TB di dati. Nel corso dell'intrusione, si legge nel report di Sophos, gli attaccanti hanno installato nella rete non meno di 7 backdoor: 2 web shell, Cobalt Strike e 4 tool commerciali di accesso remoto ovvero AnyDesk, Atera, Splashtop e Remote Utilities. Le web shell sono state installate per prime e utilizzate quasi esclusivamente per il primo accesso: AnyDesk, Cobalt Strike e gli altri invece sono stati gli strumenti principali per condurre il resto dell'attacco.
Mitigazione del rischio
Per la suite di vulnerabilità ProxyShell è consigliabile l'installazione dell'update cumulativo di Microsoft Exchange. E' ormai evidente che questa suite di vulnerabilità è in uso per lanciare varie tipologie di attacchi (non solo ransomware) e sta prendendo sempre più piede. Patchare queste vulnerabilità è urgente e necessario.
Per verificare invece se un server Exchange è stato preso di mira, i ricercatori di sicurezza consigliano una verifica del log di IIS per la richiesta "/autodiscover/autodiscover.json" con una email strana o sconosciuta. Nel caso dell'attacco in oggetto, i ricercatori di Sophos spiegano che gli attaccanti hanno mirato al servizio autodiscover eseguendo la seguente richiesta
https://Exchange-server/autodiscover/autodiscover.json?@foo.com/mapi/nspi/?&Email=autodiscover/autodiscover.json%3F@foo.com utilizzando una email dal dominio @evil.corp.
Nessun commento:
Posta un commento