Saldırganlar, Babuk Ransomware’i dağıtmak için Microsoft Exchange sunucularını hackliyor ve ProxyShell güvenlik açığını kullanarak şirket ağlarına sızıyorlar. Güvenlik açığı bulunan Microsoft Exchange sunucularına yönelik ProxyShell saldırıları, birkaç ay önce başladı ve LockFile ve Conti fidye çeteleri bunlardan yararlanan ilk fidye yazılımı grupları arasındaydı.
Saldırı nasıl başlıyor Nasıl bitiyor?
- Babuk fidye yazılımı saldırısı, bir DLL veya .NET yürütülebilir dosyasının ProxyShell güvenlik açığı kullanılarak Exchange sunucusuna bırakılmasıyla başlıyor.
- Bir sonraki amaç güvenlik sistemlerini atlatarak “tortilla.exe” zararlısını içeri almak.
- Son olarak bu yükleyici, ‘pastebin.pl’ dosyasına bağlanacak ve belleğe bir payload indirecek ve sonuçta cihaz Babuk Ransomware ile şifreleyecek.
Tortilla, DLL ve .NET modüllerini dağıtmak için başka sistemler üzerine başka zafiyetleride kullanıyor
- Microsoft Exchange, sunucu taraflı istek sahteciliğini otomatik olarak keşfetme girişimi
- Atlassian Confluence OGNL enjeksiyon uzaktan kod yürütme girişimi
- Apache Struts uzaktan kod yürütme girişimi
- Dizin geçiş girişimi yoluyla WordPress wp-config.php erişimi
- SolarWinds Orion kimlik doğrulama atlama girişimi
- Oracle WebLogic Server uzaktan komut yürütme girişimi
- Liferay keyfi Java nesnesi çıkarma girişimi
Uzmanlar, tüm BT yöneticilerin saldırılarda istismar edilmelerini önlemek için sunucularını en son sürümlere yükseltmeleri şiddetle tavsiye edilir.
Saldırganlar Rusya’dan Hedefler Amerika’dan mı ?
Talos araştırmacıları Almanya, Tayland, Brezilya ve İngiltere’de bazı saldırılar fark etse de, Tortilla’nın hedeflerinin çoğu ABD merkezli. İndirme sunucusunun IP adresi, bu saldırıların kaynağını gösterebilecek Moskov Rusya’da bulunuyor, ancak raporda herhangi bir ilişkilendirme sonucu yok.
Babuk fidye yazılımı için daha önce bir şifre çözücü yayınlanmış olsa da, yalnızca özel anahtarları kaynak kodu sızıntısının bir parçası olan kurbanların şifresini çözebilir.
Kaynak: bleepingcomputer.com