Attaque de ransomware avec ProxyShell

Des hackers mènent une attaque de ransomware avec ProxyShell

Les vulnérabilités ProxyShell ont provoqué des attaques de ransomware qui ont compromis l’ensemble du domaine de l’organisation victime. L’acteur de la menace n’a utilisé presque aucun Malware et a mené l’attaque avec des vulnérabilités vieilles de plusieurs mois. 

Un rapport expliquant la technique d’attaque

ProxyShell est le nom donné à trois vulnérabilités de Microsoft Exchange Server révélées en juillet. Ensemble, celles-ci sont capables d’élever les privilèges et d’exécuter du code à distance.

Selon The DFIR Report, une agence de renseignements sur les menaces, un client ayant utilisé un serveur Exchange non corrigé a été victime d’attaques de ransomware qui ont exploité les vulnérabilités. Cela a compromis l’ensemble du domaine de l’organisation.

Le rapport révèle les détails sur comment les acteurs malveillants ont laissé plusieurs Web shells sur le réseau de la victime. Le document rapporte également comment les hackers ont exécuté des commandes leur accordant des privilèges au niveau du système et volé un compte d’administrateur de domaine.

The DFIR Report explique également comment les pirates ont utilisé les logiciels de chiffrement BitLocker et DiskCryptor pour chiffrer les systèmes de la victime.

Le mode opératoire en détail

Attaque de ransomware avec ProxyShell

À l’aide du compte d’administrateur de domaine volé, les hackers ont effectué une analyse des ports avec KPortScan 3.0. Ils se sont ensuite déplacés latéralement à l’aide de RDP. Les serveurs ciblés comprenaient des systèmes de sauvegarde et des contrôleurs de domaine. 

L’acteur de la menace a également déployé le package FRP sur ces systèmes après avoir obtenu l’accès. Enfin, ils ont déployé setup.bat sur les serveurs de l’environnement à l’aide de RDP. Et ce, avant d’utiliser un utilitaire de chiffrement de disque open source pour chiffrer les postes de travail. 

Setup.bat a exécuté des commandes pour activer le chiffrement BitLocker, ce qui a rendu les hôtes inopérants. Après quoi, les hackers ont demandé une rançon de 8 000 dollars à la victime.

Une attaque n’impliquant aucun outil de ransomware en tant que service

L’attaque n’impliquait aucun outil de ransomware en tant que service et n’utilisait presque aucun Malware. De plus, il s’agissait d’un cas rare d’attaque de ransomware sans usage de Cobalt Strike. Ni aucun autre framework C2 d’ailleurs.

Les hackers ont donné 48 heures aux victimes pour payer. Ce laps de temps inclut le temps écoulé entre l’exploitation initiale et l’exécution de l’attaque du ransomware.

ProxyShell n’a pas atteint la même importance que les failles critiques de ProxyLogon divulguées plus tôt cette année. Les attaques ProxyShell sont en augmentation depuis que les vulnérabilités ont été découvertes pour la première fois. Cela dit, de nombreux serveurs ne sont toujours pas corrigés.

Selon une récente requête Shodan sur les serveurs Exchange connectés à Internet, 23 000 serveurs détectés ne sont pas corrigés pour ProxyShell. Environ 10 000 sont vulnérables à ProxyLogon. 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Pin It on Pinterest