Újabb zsarolóvírus ostromolja az Exchange Servereket

​A BlackByte zsarolóvírus is elkezdte kihasználni az Exchange Server idén felfedezett súlyos sebezhetőségeit.
 

A Microsoft Exchange Server kapcsán idén tavasszal három súlyos sebezhetőségre derült fény, amelyek akkor nulladik napi hibáknak számítottak. A javítások áprilisban, illetve májusban váltak elérhetővé, de a kihasználásuk alvilági körökben már márciusban elkezdődött. A három sérülékenység összefoglaló néven "ProxyShell"-ként vált ismertté:
 
  • CVE-2021-34473 - ACL-megkerülésre lehetőséget adó hiba
  • CVE-2021-34523 - Exchange PowerShell Backend sebezhetőség - jogosultsági szint emelésre módot adó sérülékenység
  • CVE-2021-31207 - fájlkezelési rendellenesség
 
A hibák által alkotott sebezhetőségi lánc révén jogosulatlan távoli kódfuttatásra, rendszerkompromittálásra, adatlopásra és vírusterjesztésre nyílhat lehetőségük a támadóknak. A ProxyShellt ez év során számos hírhedt kiberbanda igyekezett a saját javára fordítani. Ezek közé zárkózott fel a BlackByte zsarolóvírust terjesztői csoport.
 
A Red Canary biztonság kutatói olyan incidenseket vizsgáltak, amelyekben szerephez jutott az egyébként már régebb óta fertőző BlackByte. Ehhez a károkozóhoz a Trustwave októberben kiadott egy ingyenes dekódoló eszközt, amivel a korábbi variánsok által titkosított fájlok váltak helyreállíthatóvá. Azonban azóta a vírusírók változtattak a kódjaikon, így a dekódoló eszköz sajnos hatástalanná vált.
 
Amikor a támadóknak sikerül ráakadniuk egy sebezhető Exchange Serverre, akkor a ProxyShell kihasználásával egy webshell kódot másolnak fel a célkeresztbe állított kiszolgálóra. Majd ezen keresztül juttatják fel a zsarolóvírust, illetve hajtják végre az alábbi műveleteket:
  • a Windows Update Agent folyamatába történő kódbefecskendezés (Cobalt Strike)
  • regisztrációs adatbázis manipulálása
  • árnyékmásolatok törlése
  • adatszivárogtatás (WinRAR által tömörített fájlok révén publikus fájlmegosztókon keresztül)
  • AnyDesk telepítés
  • fájlok titkosítása.
 
A fentiekből következik, hogy ezúttal is dupla zsarolásos támadásokról van szó, tehát az elkövetők nem kizárólag a titkosított állományok helyreállításához szükséges információkért követelnek pénzt, hanem az eltulajdonított adatokkal is megpróbálnak zsarolni.
 

 
 
Olvassa tovább
Prémium előfizetéssel!
 
  1. 4

    Az ImageMagick négy sebezhetőség miatt kapott frissítést.

  2. 4

    A Git fontos biztonsági hibajavításokat kapott.

  3. 4

    Az Apache HTTP Server jelentős biztonsági frissítést kapott.

  4. 3

    A Lenovo Vantage három biztonsági javítással bővült.

  5. 3

    A Splunk Enterprise-hoz biztonsági frissítések érkeztek.

  6. 4

    Az Adobe kritikus veszélyességű hibákat is javított a ColdFusion esetében.

  7. 4

    Az Adobe kiadta az Illsutrator legújabb verzióit, amelyek révén 10 biztonsági hibát szüntetett meg.

  8. 4

    Az Adobe hat sebezhetőséget orvosolt az InDesignban.

  9. 4

    15 biztonsági javítással gyarapodott az Adobe FrameMaker.

  10. 4

    Az SAP kiadta a júliusi biztonsági frissítéseit.

Partnerhírek
Hogyan védhetjük meg a gyerekeket a kibertérben?

A nyári szünet idején a gyerekek több időt töltenek otthon, sokszor felügyelet nélkül – ez pedig nemcsak a fizikai, hanem az online biztonság szempontjából is kihívásokat jelent.

​A csaló telefonhívásokon és a nem létező gázszámlákon túl

Az ESET kiberbiztonsági szakértői most összefoglalják, milyen más módszerekkel lophatják el a személyes adatainkat – és mit tehetünk azért, hogy ez ne történhessen meg.

hirdetés
Közösség