Il gruppo ransomware BlackByte si sta infiltrando nelle reti aziendali sfruttando le vulnerabilità di ProxyShell nei server Microsoft Exchange. Associando tre vulnerabilità di Microsoft Exchange, ProxyShell consente l’esecuzione di codice remoto non autenticato sul server.
Le seguenti vulnerabilità sono state risolte dalle patch di sicurezza pubblicate ad aprile e maggio 2021, ma ancora oggi si trovano server esposti:
- CVE-2021-34473 – La confusione del percorso di pre-autenticazione porta al bypass ACL (corretto tramite KB5001779)
- CVE-2021-34523 – Elevazione del privilegio sul backend di Exchange PowerShell (con patch tramite KB5001779)
- CVE-2021-31207 – Post-auth Arbitrary-File-Write porta a RCE (patch tramite KB5003435)
Gli attori delle minacce hanno iniziato a sfruttare le vulnerabilità da quando i ricercatori hanno rivelato che è possibile penetrare nei sistemi non aggiornati e installare shell web, minatori di criptovaluta e ransomware.
Secondo un rapporto approfondito, i ricercatori di Red Canary hanno esaminato un attacco di ransomware BlackByte. Hanno scoperto che gli aggressori hanno utilizzato le vulnerabilità di ProxyShell per installare web shell su un server Microsoft Exchange compromesso.
Gli attori delle minacce utilizzano spesso tecnologie di terze parti per ottenere un accesso elevato o fornire malware su una rete durante il lancio di attacchi ransomware. L’eseguibile ransomware BlackByte, d’altra parte, è fondamentale poiché gestisce sia l’escalation dei privilegi che la capacità di worm o di spostarsi lateralmente all’interno del sistema infetto.
Il malware imposta tre valori del registro: una per l’elevazione dei privilegi locali, una per consentire la condivisione della connessione di rete su tutti i livelli di privilegio e una per consentire valori di percorso lunghi per nomi, percorsi di file e spazi dei nomi. Per evitare intercettazioni dell’ultimo minuto, il malware cancella il lavoro pianificato “Raccine Rules Updater” prima della crittografia. Usa anche un comando offuscato di PowerShell per eliminare le copie shadow direttamente tramite gli oggetti WMI. Infine, i file compromessi vengono esfiltrati utilizzando WinRAR per archiviare dati e caricando il tutto su servizi di condivisione file anonimi come “file.io” o “anonymfiles.com”.
Anche se Trustwave ha pubblicato un decryptor per il ransomware BlackByte nell’ottobre 2021, è inverosimile che gli operatori stiano ancora impiegando le stesse tecniche di crittografia che hanno permesso alle vittime di recuperare le proprie informazioni gratuitamente.
Di conseguenza, a seconda della chiave utilizzata nell’attacco, potresti o meno essere in grado di recuperare i tuoi file utilizzando quel decryptor. Già in diversi attacchi sono state osservate molteplici “nuove” varianti di BlackByte, indicando che gli autori di malware tentano ogni strada per evitare la scoperta, l’analisi e la decrittazione.