BlackByte fidye yazılımı çetesi şimdi ProxyShell güvenlik açıklarını kullanarak Microsoft Exchange sunucularından yararlanarak şirket ağlarını ihlal ediyor.
ProxyShell, birbirine zincirlendiğinde sunucuda kimlik doğrulamasız, uzaktan kod yürütülmesine izin veren üç Microsoft Exchange güvenlik açığı kümesinin adıdır.
Bu güvenlik açıkları aşağıda listelenmiştir ve Nisan ve Mayıs 2021’de yayımlanan güvenlik güncelleştirmeleri tarafından düzeltilmiştir:
Araştırmacılar güvenlik açıklarını açıkladıklarına göre, tehdit aktörleri onları sömürmeye başladı sunucuları ihlal etmek ve web kabukları, madeni para madencileri ve fidye yazılımları yüklemek için.
BlackByte ProxyShell’den yararlanmaya başladı
Ayrıntılı olarak Red Canary tarafından hazırlanan rapor, araştırmacılar, güvenliği ihlal edilmiş bir Microsoft Exchange sunucusuna web kabukları yüklemek için ProxyShell güvenlik açıklarından yararlandıklarını gördükleri bir BlackByte fidye yazılımı saldırısını analiz ettiler.
Web Kabukları, bir tehdit aktörünün bir cihaza kalıcılık kazanmasına ve komutları uzaktan yürütmesine veya sunucuya ek dosyalar yüklemesine izin veren web sunucularına yüklenen küçük komut dosyalarıdır.
Kaynak: BleepingComputer
Yerleştirilen web kabuğu daha sonra Windows Update Aracısı işlemine eklenen sunucuya bir Kobalt Strike işareti bırakmak için kullanılır.
Yaygın olarak kötüye kullanılan sızma sınama aracı daha sonra güvenliği aşılmış sistemde bir hizmet hesabı için kimlik bilgilerini boşaltmak için kullanılır.
Son olarak, hesabı devraldıktan sonra, rakipler AnyDesk uzaktan erişim aracını yükler ve yanal hareket aşamasına geçin.
BlackByte hala ciddi bir tehdit.
Fidye yazılımı saldırıları düzenlerken, tehdit aktörleri genellikle yüksek ayrıcalıklar elde etmek veya fidye yazılımını bir ağda dağıtmak için üçüncü taraf araçları kullanır.
Bununla birlikte, gerçek BlackByte fidye yazılımı yürütülebilir yazılımı, hem ayrıcalık yükseltmesini hem de tehlikeye atılan ortamda solucanlama veya yanal hareket gerçekleştirme yeteneğini ele aldığı için merkezi bir rol oynar.
Kötü amaçlı yazılım, biri yerel ayrıcalık yükselmesi, biri tüm ayrıcalık düzeyleri arasında ağ bağlantısı paylaşımını etkinleştirmek ve diğeri dosya yolları, adlar ve ad alanları için uzun yol değerlerine izin vermek üzere üç kayıt defteri değeri ayarlar.
Şifrelemeden önce, kötü amaçlı yazılım son dakika engellemelerini önlemek için “Raccine Rules Updater” zamanlanmış görevini siler ve ayrıca karartılmış bir PowerShell komutu kullanarak gölge kopyaları doğrudan WMI nesneleri aracılığıyla siler.
Son olarak, çalınan dosyalar winrar kullanılarak “file.io” veya “anonymfiles.com” gibi anonim dosya paylaşım platformlarını arşivlemek için çıkarılır.
Her ne kadar Trustwave olsa da bir şifre çözücü serbest bırakıldı Ekim 2021’deki BlackByte fidye yazılımı için, operatörlerin hala kurbanların dosyalarını ücretsiz olarak geri yüklemelerine izin veren aynı şifreleme taktiklerini kullanmaları olası değildir.
Bu nedenle, belirli bir saldırıda hangi anahtarın kullanıldığına bağlı olarak, dosyalarınızı bu şifre çözücü kullanarak geri yükleyebilir veya geri yükleyemeyebilirsiniz.
Kırmızı Kanarya vahşi doğada BlackByte’ın birden fazla “taze” varyantını gördü, bu yüzden kötü amaçlı yazılım yazarlarının tespit, analiz ve şifre çözmeden kaçınma çabası açıkça var.
ProxyShell’den fidye yazılımına
Fidye yazılımlarını bırakmak için ProxyShell güvenlik açıklarından yararlanmak yeni değil ve aslında, Kasım ayının başında benzer bir şey gördük. Babuk suşu konuşlandırıldı.
ProxyShell kümesi birden fazla aktörden etkin olarak yararlanıyor en az Mart 2021’den beribu nedenle, güvenlik güncelleştirmelerini uygulama süresi çok gecikti.
Bu herhangi bir nedenle mümkün değilse, yöneticilerin gölge kopyaların silinmesi, şüpheli kayıt defteri değişikliği ve kısıtlama ilkelerini atlayan PowerShell yürütme gibi öncül etkinlik için maruz kaldıkları sistemleri izlemeleri önerilir.