06 Apr Sembra fatto Ap…Posta
Black Kingdom è il nuovo ransomware che sta colpendo i server di posta Exchange non patchati.
Da qualche tempo sono state rese note le vulnerabilità RCE (Remote Code Execution) ProxyLogon (CVE-2021-27065 )
Sul sito indicato sono presenti anche le patch di remediation, disponibili dallo stesso momento in cui Microsoft ha pubblicato la vulnerabilità, all’inizio del mese di marzo.
Il funzionamento è analogo a quello che lo scorso anno sfruttava altri prodotti, basandosi su di un processo legittimo all’interno di IIS (il server web dei prodotti Microsoft). La web shell sfrutta infatti la componente w3wp.exe consegnando alla web shell alcuni processi (ChackLogsPL.aspx, ckPassPL.aspx, hackIdIO.aspx) memorizzati nel path di Exchange in esecuzione per ottenere così tramite loro l’accesso remoto al server compromesso.
L’attacco prosegue
L’aggressione procede emettendo un comando PowerShell che decodifica uno script Python il quale a sua volta preleva ed esegue il payload finale (.exe), invocando Win32_Process (WMI), e propagandosi nella stessa rete della vittima.
L’annidamento dei processi rende complesso scoprire l’effetto finale finché il vero payload viene scaricato, ma ormai è tardi.
Lo stesso payload si nasconderà nella cartella C:/Windows/System32/[stringa random].exe con la parte generata appunto in modo casuale così da impedire il riconoscimento “per similitudine”.
Operazioni sul sistema:
- termina i servizi SQL per poter crittografare i database;
- genera una stringa casuale di 64 caratteri da usare come chiave di crittografia, genera l’hash MD5 e la converte in hex;
- crea un identificatore gen_id incorporato nella nota del riscatto per identificare la vittima;
- carica su un account di archiviazione cloud l’identificatore gen_id e la chiave;
- esclude dalla crittografia alcune cartelle prestabilite e cifra tutto il resto;
- disabilita mouse e tastiera e genera una nota di riscatto con un countdown.
Come procedere?
Non è possibile, come in molti casi identificare esattamente “chi” chiede il riscatto, ma pagare non è sicuramente la soluzione migliore: non abbiamo garanzia di quanto farebbero veramente (che ci restituiscano le chiavi non è certo: stiamo sempre parlando con dei criminali) e si potrebbe incorrere in un accanimento per ottenere altri soldi.
Ma la soluzione l’ha già fornita Microsoft: bisogna solo applicarla! E in fretta!
Se non si è in grado (ma avendo una gestione Exchange si parla di aziende minimamente strutturate), bisogna rivolgersi subito al tecnico che esegue la manutenzione. Non possiamo lamentarci se avendo la soluzione disponibile non la applichiamo e veniamo colpiti.
Noi possiamo rendere più sicuro il Vostro mondo dandovi le notizie, ma ricordate che si parte sempre da sé stessi: