WickrMe Ransomware

WickrMe Ransomware Beschrijving

Een nieuwe ransomware-operatie is begonnen met het aanvallen van Microsoft SharePoint-servers, wat de eerste keer is dat dit specifieke toegangspunt is gebruikt om particuliere bedrijfsnetwerken te infiltreren en ransomware in te zetten. Eerdere doelen van vergelijkbare campagnes waren Microsoft Exchange-e-mailservers, Citrix-gateways, F5 BIG-IP-load balancers en VPN-producten die zijn uitgebracht door Pulse Secure, Fortinet en Palo Alto Network.

De aanvalscampagne wordt gevolgd door beveiligingsleveranciers als de WickrMe Ransomware (Hallo) vanwege het gebruik van door Wickr gecodeerde IM-accounts als onderdeel van de communicatiekanalen die slachtoffers kunnen gebruiken om de cybercriminelen te bereiken. De aanvankelijke compromisvector die wordt misbruikt door de WickMe Ransomware is een bekende kwetsbaarheid (CVE-2019-0604) die de SharePoint-teamsamenwerkingsservers van Microsoft treft. De exploit stelt de bedreigingsacteur in staat controle te krijgen over de SharePoint-server en een beschadigde webshell af te leveren. De volgende stap is het creëren van een achterdeur door een Cobalt Strike-baken te installeren. De hackers kunnen vervolgens geautomatiseerde PowerShell-scripts uitvoeren die uiteindelijk de laatste lading - de Hello Ransomware-bedreiging - op de gecompromitteerde systemen zullen laten vallen en uitvoeren.

Bedrijven werden gewaarschuwd voor de uitbuiting

Vorig jaar bracht Microsoft een blogpost uit, waarin werd ingegaan op de aanzienlijke toename van waargenomen aanvalscampagnes die gericht waren op kwetsbaarheden in netwerkapparaten als gateways voor de levering van ransomwarebedreigingen. Een van de specifieke kwetsbaarheden die in het artikel worden genoemd, was ook CVE-2019-0604. Microsoft dringt er bij bedrijven op aan om de verzameling exploits te patchen waarvan zij dachten dat ze binnenkort het doelwit zouden kunnen zijn van ransomwaregroepen.

Dezelfde SharePoint-serverbug werd eerder misbruikt in campagnes die werden gelanceerd door cybercriminelen, door de staat gesponsorde spionagegroepen en APT's (Advanced Persistent Threats).