Dengan Eksploitasi ProxyShell, Conti Ransomware Sekarang Menargetkan Server Exchange

  • Whatsapp
Dengan Eksploitasi ProxyShell, Conti Ransomware Sekarang Menargetkan Server Exchange

 

Menggunakan eksploitasi kerentanan ProxyShell yang baru-baru ini diungkapkan, grup ransomware Conti meretas ke server Microsoft Exchange dan membahayakan jaringan perusahaan. ProxyShell adalah moniker untuk serangan yang menggunakan tiga kerentanan Microsoft Exchange berantai (CVE-2021-34473, CVE-2021-34523, dan CVE-2021-31207) untuk memungkinkan eksekusi kode jarak jauh yang tidak diautentikasi pada server rentan yang belum ditambal .
Serangan terjadi dengan kecepatan sangat tinggi. Shell web kedua dipasang beberapa menit setelah web shell pertama dipasang pada satu kesempatan. Penyerang Conti menyusun daftar lengkap komputer jaringan, pengontrol domain, dan administrator domain dalam waktu kurang dari 30 menit. Setelah mendapatkan kredensial akun administrator domain, penyerang mulai menjalankan tuntutan empat jam kemudian.
Para penyerang telah mengekstrak sekitar 1 terabyte data dalam waktu 48 jam setelah mendapatkan akses. Malware Conti diinstal pada setiap sistem di jaringan dalam waktu lima hari, secara khusus menargetkan pembagian jaringan individual di setiap workstation.
Afiliasi Conti juga memasang tidak kurang dari tujuh pintu belakang pada jaringan selama serangan: dua web shell, Cobalt Strike, dan empat program akses jarak jauh komersial yang dijuluki AnyDesk, Aterta, Splashtop, dan Remote Utilities. Akses awal disediakan oleh shell web, dengan Cobalt Strike dan AnyDesk berfungsi sebagai alat utama untuk sisa serangan.
“Kami ingin menyoroti kecepatan serangan itu terjadi,” kata Peter Mackenzie, manajer respons insiden di Sophos. “Berlawanan dengan waktu tunggu penyerang biasa selama berbulan-bulan atau berminggu-minggu sebelum mereka menjatuhkan ransomware, dalam kasus ini, penyerang Conti memperoleh akses ke jaringan target dan menyiapkan web shell jarak jauh dalam waktu kurang dari satu menit.”
Microsoft melaporkan dan menambal kerentanan awal tahun ini, tetapi tidak semua perusahaan memperbarui sistem mereka, seperti yang sering terjadi dengan peningkatan perangkat lunak. Pada bulan Maret, Microsoft mengeluarkan peringatan bahwa peretas yang disponsori negara China menargetkan kelemahan tersebut. Pendekatan terbaik untuk melindungi dari serangan, menurut Tom Burt, wakil presiden perusahaan keamanan dan kepercayaan pelanggan Microsoft, adalah dengan menerapkan pembaruan. Pada bulan April, Biro Investigasi Federal AS mengambil langkah yang tidak biasa dengan membobol server Exchange yang disusupi untuk memperbaiki kekurangannya.
Grup ransomware Conti telah aktif sejak 2020, dan telah dikaitkan dengan sejumlah serangan, termasuk satu di bulan Mei yang menargetkan sistem kesehatan Irlandia. Perusahaan komputer industri Advantech Co. Ltd. menjadi korban Conti pada bulan November, seperti halnya pemasok perangkat keras dan perangkat lunak VOIP Sangoma Technologies Corp. pada bulan Desember, dan rumah sakit di Florida dan Texas pada bulan Februari.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *