WickrMe Ransomware

Nowa operacja ransomware zaczęła atakować serwery Microsoft SharePoint, oznaczając pierwszy raz, kiedy ten konkretny punkt wejścia został użyty do infiltracji prywatnych sieci korporacyjnych i wdrażania ransomware. Poprzednimi celami podobnych kampanii były serwery poczty e-mail Microsoft Exchange, bramy Citrix, systemy równoważenia obciążenia F5 BIG-IP oraz produkty VPN wydane przez Pulse Secure, Fortinet i Palo Alto Network.

Kampania ataku jest śledzona przez dostawców zabezpieczeń jako WickrMe Ransomware (Hello) ze względu na wykorzystanie zaszyfrowanych kont komunikatorów Wickr jako części kanałów komunikacji, z których mogą korzystać ofiary, aby dotrzeć do cyberprzestępców. Początkowy wektor zagrożenia wykorzystywany przez WickMe Ransomware to znana luka w zabezpieczeniach (CVE-2019-0604) wpływająca na serwery współpracy zespołowej Microsoft SharePoint. Exploit umożliwia hakerowi przejęcie kontroli nad serwerem SharePoint i dostarczenie uszkodzonej powłoki internetowej. Następnym krokiem jest utworzenie backdoora poprzez zainstalowanie sygnału ostrzegawczego Cobalt Strike. Hakerzy mogą następnie uruchamiać automatyczne skrypty PowerShell, które ostatecznie upuszczą i wykonają ostateczny ładunek - zagrożenie Hello Ransomware, w zaatakowanych systemach.

Firmy zostały ostrzeżone przed exploitem

W zeszłym roku Microsoft opublikował post na blogu, w którym omówiono znaczny wzrost zaobserwowanych kampanii ataków wymierzonych w luki w zabezpieczeniach urządzeń sieciowych jako bramy do dostarczania zagrożeń ransomware. Wśród konkretnych luk wymienionych w artykule była również CVE-2019-0604. Microsoft wzywa firmy do załatania kolekcji exploitów, które według nich mogą wkrótce stać się celem grup ransomware.

Ten sam błąd serwera SharePoint został wykorzystany w kampaniach prowadzonych wcześniej przez cyberprzestępców, sponsorowane przez państwo grupy szpiegowskie i APT (Advanced Persistent Threats).