WickrMe Ransomware

Descrição do WickrMe Ransomware

Uma nova operação de ransomware começou a ter como alvo os servidores Microsoft SharePoint, marcando a primeira vez que este ponto de entrada específico foi usado para se infiltrar em redes corporativas privadas e implantar ransomware. Os alvos anteriores de campanhas semelhantes foram servidores de e-mail Microsoft Exchange, gateways Citrix, balanceadores de carga F5 BIG-IP e produtos VPN lançados pela Pulse Secure, Fortinet e a Palo Alto Network.

A campanha de ataque está sendo rastreada pelos fornecedores de segurança, tais como o WickrMe Ransomware (Hello) devido ao uso de contas de mensagens instantâneas criptografadas pelo Wickr como parte dos canais de comunicação que as vítimas podem usar para entrar em contato com os cibercriminosos. O vetor de comprometimento inicial explorado pelo WickMe Ransomware é uma vulnerabilidade conhecida (CVE-2019-0604) que afeta os servidores de colaboração da equipe do SharePoint da Microsoft. A exploração permite que o agente da ameaça estabeleça controle sobre o servidor SharePoint e forneça um shell corrompido da Web. A próxima etapa envolve a criação de um backdoor com a instalação de um farol Cobalt Strike. Os hackers podem então executar scripts automatizados do PowerShell que, por fim, descartam e executam a carga útil final - a ameaça Hello Ransomware, nos sistemas comprometidos.

As Empresas foram visadas sobre a Exploração

No ano passado, a Microsoft lançou uma postagem no blog, abordando o aumento significativo nas campanhas de ataque observadas, que visavam vulnerabilidades nos dispositivos de rede como portais para a entrega de ameaças de ransomware. Entre as vulnerabilidades específicas mencionadas no artigo, também estava a CVE-2019-0604. A Microsoft exorta as empresas a corrigirem a coleção de exploits que acreditavam que logo poderiam ser alvos de grupos de ransomware.

O mesmo bug do servidor do SharePoint foi explorado por em campanhas lançadas por cibercriminosos, grupos de espionagem patrocinados pelo estado e APTs (Ameaças Persistentes Avançadas) anteriormente.