Vulnerabilitatea Microsoft Exchange ProxyShell folosită pentru a lansa ransomware-ul Babuk

Un nou actor de amenințare țintește serverele Microsoft Exchange folosind vulnerabilitatea ProxyShell pentru a obține acces în rețelele corporative și pentru a lansa ransomware-ul Babuk. Atacurile au început în urmă cu câteva luni, grupurile LockFile și Conti fiind printre primele care au exploatat această vulnerabilitate.

Potrivit unui raport al cercetătorilor de la Cisco Talos, se pare că ransomware-ului Babuk este o versiune mai nouă a unui alt ransomware, cunoscut sub numele de Tortilla, folosit în octombrie anul trecut prin intermediul shell-ului web ”China Chopper”.

Atacul ransomware-ului Babuk este inițiat prin intermediul unui executabil DLL sau .NET încărcat pe serverele Exchange prin intermediul vulnerabilității ProxyShell. De aici, procesul Exchange w3wp.exe va executa payload-ul malițios care va executa o comandă PowerShell obfuscată ce va permite ocolirea mecanismelor de securitate și va solicita în Internet un alt payload numit tortilla.exe. Acest payload va descărca și injecta un payload într-un proces NET Framework, care va cripta în cele din urmă dispozitivul cu ransomware-ul Babuk.

Deși analiștii Cisco au descoperit dovezi conform cărora majoritatea infectărilor se datorează vulnerabilității ProxyShell, informațiile adunate reflectă un spectru mult mai larg de încercări de exploatare. Deoarece aceste atacuri se bazează pe vulnerabilități remediate anterior, este recomandat ca toți administratorii de sistem să își actualizeze serverele la cele mai recente versiuni.

Babuk Locker este un ransomware lansat la începutul anului 2021, folosit pentru lansarea unor atacuri de tip double-extortion împotriva mai multor companii.

Sursa: https://www.bleepingcomputer.com/news/security/microsoft-exchange-proxyshell-exploits-used-to-deploy-babuk-ransomware/