WickrMe Ransomware

WickrMe Ransomware Beskrivelse

En ny ransomware-operation er begyndt at målrette mod Microsoft SharePoint-servere, hvilket markerer første gang, at dette bestemte indgangspunkt er blevet brugt til at infiltrere private virksomhedsnetværk og implementere ransomware. Tidligere mål for lignende kampagner har været Microsoft Exchange-e-mail-servere, Citrix-gateways, F5 BIG-IP-belastningsbalancere og VPN-produkter frigivet af Pulse Secure, Fortinet og Palo Alto Network.

Angrebskampagnen spores af sikkerhedsleverandører som WickrMe Ransomware (Hej) på grund af brugen af Wickr-krypterede IM-konti som en del af de kommunikationskanaler, som ofrene kan bruge til at nå cyberkriminelle. Den indledende kompromisvektor, der udnyttes af WickMe Ransomware, er en kendt sårbarhed (CVE-2019-0604), der påvirker Microsofts SharePoint-teamsamarbejdsservere. Udnyttelsen giver trusselsaktøren mulighed for at etablere kontrol over SharePoint-serveren og levere en beskadiget web-shell. Det næste trin involverer at skabe en bagdør ved at installere et Cobalt Strike-fyr. Hackerne kan derefter køre automatiserede PowerShell-scripts, der i sidste ende vil falde og udføre den endelige nyttelast - Hello Ransomware-truslen på de kompromitterede systemer.

Virksomheder blev advaret om udnyttelsen

Sidste år udgav Microsoft et blogindlæg, der adresserede den markante stigning i observerede angrebskampagner, der målrettede sårbarheder i netværksenheder som gateways til levering af ransomware-trusler. Blandt de specifikke sårbarheder, der er nævnt i artiklen, var også CVE-2019-0604. Microsoft opfordrer virksomheder til at lappe samlingen af bedrifter, som de mente snart kunne blive rettet mod ransomwaregrupper.

Den samme SharePoint-serverfejl blev udnyttet af i kampagner, der tidligere blev lanceret af cyberkriminelle, statsstøttede spionagegrupper og APT'er (Advanced Persistent Threats).