WickrMe Ransomware

En ny ransomware-operation har börjat rikta in sig på Microsoft SharePoint-servrar, vilket markerar första gången att just denna ingångspunkt har använts för att infiltrera privata företagsnätverk och distribuera ransomware. Tidigare mål för liknande kampanjer har varit Microsoft Exchange-e-postservrar, Citrix-gateways, F5 BIG-IP-belastningsbalanserare och VPN-produkter som släppts av Pulse Secure, Fortinet och Palo Alto Network.

Attackkampanjen spåras av säkerhetsleverantörer som WickrMe Ransomware (Hej) på grund av användningen av Wickr-krypterade IM-konton som en del av de kommunikationskanaler som offren kan använda för att nå cyberbrottslingarna. Den ursprungliga kompromissvektorn som utnyttjas av WickMe Ransomware är en känd sårbarhet (CVE-2019-0604) som påverkar Microsofts SharePoint-team-samarbetsservrar. Utnyttjandet tillåter hotaktören att skapa kontroll över SharePoint-servern och leverera ett skadat webbskal. Nästa steg handlar om att skapa en bakdörr genom att installera en Cobalt Strike-fyr. Hackarna kan sedan köra automatiserade PowerShell-skript som i slutändan kommer att släppa och utföra den slutliga nyttolasten - Hello Ransomware-hotet på de komprometterade systemen.

Företag varnades för exploateringen

Förra året släppte Microsoft ett blogginlägg för att ta itu med den betydande ökningen av observerade attackkampanjer som riktade sårbarheter i nätverksenheter som portar för leverans av ransomware-hot. Bland de specifika sårbarheter som nämns i artikeln var också CVE-2019-0604. Microsoft uppmanar företag att lappa samlingen av exploater som de trodde snart skulle kunna riktas mot ransomwaregrupper.

Samma SharePoint-serverbugg utnyttjades av i kampanjer som tidigare lanserats av cyberbrottslingar, statligt sponsrade spionagrupper och APT (Advanced Persistent Threats).