Des serveurs Microsoft Exchange piratés pour déployer le ransomware BlackByte

exchange_ransomware

Le gang de ransomware BlackByte s’attaque désormais aux réseaux d’entreprise en exploitant les serveurs Microsoft Exchange à l’aide des vulnérabilités ProxyShell.

ProxyShell est le nom d’un ensemble de trois vulnérabilités Microsoft Exchange qui permettent l’exécution de code à distance non authentifié sur le serveur lorsqu’elles sont enchaînées.

Ces vulnérabilités sont répertoriées ci-dessous et ont été corrigées par des mises à jour de sécurité publiées en avril et mai 2021 :

Depuis que les chercheurs ont divulgué les vulnérabilités, les acteurs de la menace ont commencé à les exploiter pour violer les serveurs et installer des shells Web, des mineurs de pièces et des ransomwares.

BlackByte commence à exploiter ProxyShell

Dans un détail rapport de Red Canary, les chercheurs ont analysé une attaque de ransomware BlackByte où ils les ont vus exploiter les vulnérabilités de ProxyShell pour installer des shells Web sur un serveur Microsoft Exchange compromis.

Les Web Shells sont de petits scripts téléchargés sur des serveurs Web qui permettent à un acteur malveillant d’obtenir de la persistance sur un appareil et d’exécuter à distance des commandes ou de télécharger des fichiers supplémentaires sur le serveur.

Exemple de webshell
Exemple de webshell
Source : BleepingOrdinateur

Le shell Web planté est ensuite utilisé pour déposer une balise Cobalt Strike sur le serveur, injectée dans le processus Windows Update Agent.

L’outil de test d’intrusion largement abusé est ensuite utilisé pour vider les informations d’identification d’un compte de service sur le système compromis.

Enfin, après avoir repris le compte, les adversaires installent l’outil d’accès à distance AnyDesk puis passent à l’étape de déplacement latéral.

BlackByte est toujours une menace sérieuse

Lorsqu’ils mènent des attaques de ransomware, les acteurs malveillants utilisent généralement des outils tiers pour obtenir des privilèges élevés ou déployer le ransomware sur un réseau.

Cependant, l’exécutable du ransomware BlackByte joue un rôle central car il gère à la fois l’escalade des privilèges et la capacité de vermifuger ou d’effectuer des mouvements latéraux dans l’environnement compromis.

Le malware définit trois valeurs de registre, une pour l’élévation des privilèges locaux, une pour activer le partage de connexion réseau entre tous les niveaux de privilège et une pour autoriser des valeurs de chemin long pour les chemins de fichiers, les noms et les espaces de noms.

Avant le cryptage, le malware supprime la tâche planifiée « Raccine Rules Updater » pour empêcher les interceptions de dernière minute et efface également les clichés instantanés directement via les objets WMI à l’aide d’une commande PowerShell obscurcie.

Enfin, les fichiers volés sont exfiltrés à l’aide de WinRAR pour archiver des fichiers et des plateformes de partage de fichiers anonymes telles que « file.io » ou « anonymfiles.com ».

Bien que Trustwave ait publié un décrypteur pour le ransomware BlackByte en octobre 2021, il est peu probable que les opérateurs utilisent toujours les mêmes tactiques de cryptage qui ont permis aux victimes de restaurer leurs fichiers gratuitement.

En tant que tel, vous pouvez ou non être en mesure de restaurer vos fichiers à l’aide de ce décrypteur, selon la clé utilisée dans l’attaque particulière.

Red Canary a vu plusieurs variantes « nouvelles » de BlackByte dans la nature, il y a donc clairement un effort de la part des auteurs de logiciels malveillants pour échapper à la détection, à l’analyse et au décryptage.

Du ProxyShell au ransomware

Exploiter les vulnérabilités de ProxyShell pour supprimer les ransomwares n’est pas nouveau, et en fait, nous avons vu quelque chose de similaire début novembre chez les acteurs qui ont déployé la souche Babuk.

L’ensemble ProxyShell est exploité activement par plusieurs acteurs depuis au moins mars 2021, il est donc grand temps d’appliquer les mises à jour de sécurité.

Si cela est impossible pour une raison quelconque, il est conseillé aux administrateurs de surveiller leurs systèmes exposés pour détecter toute activité précurseur telle que la suppression de clichés instantanés, la modification suspecte du registre et l’exécution de PowerShell qui contourne les stratégies de restriction.