Babuk ransomware distribuito dagli exploit di ProxyShell.

Redazione RHC : 10 Novembre 2021 07:16

Un nuovo attore di minacce sta hackerando i server Microsoft Exchange e violando le reti aziendali utilizzando la vulnerabilità ProxyShell per distribuire il Babuk Ransomware.

Gli attacchi ProxyShell contro i server Microsoft Exchange vulnerabili sono iniziati diversi mesi fa, con LockFile e Conti, note cyber-gang che operano nella Ransomware as a Service.

NIS2: diventa pronto alle nuove regole europee La Direttiva NIS2 cambia le regole della cybersecurity in Europa: nuovi obblighi, scadenze serrate e sanzioni pesanti per chi non si adegua.  Essere pronti non è più un’opzione, è una necessità per ogni azienda e infrastruttura critica. Scopri come garantire la compliance e proteggere la tua organizzazione con l’Anteprima Gratuita del Corso NIS2, condotto dall’Avv. Andrea Capelli.  Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso: L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Secondo un rapporto dei ricercatori di Cisco Talos, un affiliato del ransomware Babuk noto come “Tortilla” si è unito al club a ottobre, quando l’operazione ha iniziato a utilizzare la web shell “China Chopper” sui server Exchange violati.

Il nome Tortilla, si basa su eseguibili dannosi individuati nelle campagne che utilizzano il nome Tortilla.exe. L’attacco ransomware Babuk inizia con una DLL o un eseguibile .NET rilasciato sul server Exchange utilizzando la vulnerabilità di ProxyShell.

Il processo di lavoro di Exchange IIS w3wp.exe esegue quindi questo payload dannoso per eseguire il comando PowerShell offuscato che consente di bypassare la protezione degli endpoint, invocando infine una richiesta Web per recuperare un payload loader denominato “tortilla.exe”.

Questo loader si collegherà a “pastebin.pl” e scaricherà un payload che viene caricato in memoria e iniettato in un processo NET Framework, che alla fine crittografa il dispositivo con Babuk Ransomware.

Sebbene gli analisti di Cisco abbiano trovato prove dello sfruttamento della vulnerabilità di ProxyShell, nella maggior parte delle infezioni, in particolare nella shell web “China Chopper”, i dati di telemetria riflettono un ampio spettro di tentativi di exploit.

Più specificamente, Tortilla ha seguito questi percorsi per eliminare i moduli DLL e .NET:

• Tentativo di falsificazione della richiesta lato server di rilevamento automatico di Microsoft Exchange;
• Tentativo di esecuzione del codice remoto di iniezione OGNL di Atlassian Confluence;
• esecuzione di codice remoto utilizzando gli exploit di Apache Struts;
• Accesso a wp-config.php di WordPress tramite tentativo di patch traversal;
• Tentativo di bypass dell’autenticazione di SolarWinds Orion;
• Tentativo di esecuzione del comando remoto di Oracle WebLogic Server;
• Tentativo di deserializzazione arbitrario di oggetti Java di Liferay.

Poiché questi attacchi si basano su vulnerabilità per le quali sono prodotte delle patch, si consiglia vivamente a tutti gli amministratori di aggiornare i propri server alle versioni più recenti per evitare che vengano sfruttati negli attacchi.

Babuk Locker è un’operazione ransomware lanciata all’inizio del 2021, quando ha iniziato a prendere di mira le aziende e a crittografare i loro dati con attacchi a doppia estorsione.

Dopo aver condotto un attacco al Metropolitan Police Department (MPD) di Washinton DC e aver sentito il calore delle forze dell’ordine statunitensi, la banda di ransomware ha interrotto la loro operazione.

Dopo che il codice sorgente per la prima versione di Babuk e un builder sono trapelati sui forum di hacking, altri criminali hanno iniziato a studiare il codice ed ad utilizzarlo nei loro ransomware per lanciare i propri attacchi.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli