Bei einem kürzlich von einer Tochtergesellschaft durchgeführten Hive-Ransomware-Angriff wurden die im letzten Jahr bekannt gewordenen „ProxyShell“-Schwachstellen im Microsoft Exchange Server ausgenutzt, um das Netzwerk eines ungenannten Kunden zu verschlüsseln.
„Dem Akteur gelang es, seine bösartigen Ziele zu erreichen und die Umgebung in weniger als 72 Stunden nach der ersten Kompromittierung zu verschlüsseln“, so der Varonis-Sicherheitsforscher Nadav Ovadia in einer Post-Mortem-Analyse des Vorfalls.
Hive, das erstmals im Juni 2021 beobachtet wurde, folgt dem lukrativen Ransomware-as-a-Service (RaaS)-Schema, das andere Cyberkriminelle in den letzten Jahren angewandt haben und das es den Mitgliedern ermöglicht, die dateiverschlüsselnde Malware einzusetzen, nachdem sie in den Netzwerken ihrer Opfer Fuß gefasst haben.
ProxyShell – verfolgt als CVE-2021-31207, CVE-2021-34523 und CVE-2021-34473 – beinhaltet eine Kombination aus der Umgehung von Sicherheitsfunktionen, der Ausweitung von Privilegien und der Ausführung von Code aus der Ferne in Microsoft Exchange Server, was dem Angreifer die Möglichkeit gibt, beliebigen Code auf den betroffenen Servern auszuführen.
Die Probleme wurden von Microsoft im Rahmen der Patch Tuesday Updates für April und Mai 2021 behoben.
In diesem Fall konnte der Angreifer nach erfolgreicher Ausnutzung der Schwachstellen Web-Shells auf dem kompromittierten Server einrichten und diese nutzen, um bösartigen PowerShell-Code mit SYSTEM-Rechten auszuführen, einen neuen Backdoor-Administrator-Benutzer zu erstellen, das Domänen-Administratorkonto zu entführen und laterale Bewegungen durchzuführen.
Die Web-Shells, die bei dem Angriff verwendet wurden, sollen aus einem öffentlichen Git-Repository stammen und Dateinamen mit einer zufälligen Mischung von Zeichen erhalten haben, um einer Entdeckung zu entgehen, so Ovadia. Außerdem wurde ein zusätzliches, verschleiertes PowerShell-Skript ausgeführt, das Teil des Cobalt Strike Frameworks ist.
Von dort aus durchsuchte der Angreifer das Netzwerk nach wertvollen Dateien, bevor er die Golang Ransomware (mit dem Namen „Windows.exe“) ausführte, um den Verschlüsselungsprozess abzuschließen und dem Opfer die Lösegeldforderung anzuzeigen.
Zu den weiteren Operationen der Malware gehören das Löschen von Schattenkopien, das Deaktivieren von Sicherheitsprodukten und das Löschen von Windows-Ereignisprotokollen, um eine Entdeckung zu vermeiden, eine Wiederherstellung zu verhindern und sicherzustellen, dass die Verschlüsselung reibungslos abläuft.
Wenn überhaupt, dann sind die Ergebnisse ein weiterer Hinweis darauf, dass das Patchen bekannter Schwachstellen der Schlüssel zur Abwehr von Cyberangriffen und anderen schändlichen Aktivitäten ist.
„Ransomware-Angriffe haben in den letzten Jahren stark zugenommen und sind nach wie vor die bevorzugte Methode von Bedrohungsakteuren, die ihre Gewinne maximieren wollen“, sagte Ovadia. „Sie können dem Ruf eines Unternehmens schaden, den regulären Betrieb stören und zu einem vorübergehenden, möglicherweise auch dauerhaften Verlust sensibler Daten führen.“