Exploits de Microsoft Exchange ProxyShell utilisés pour déployer le ransomware Babuk

Microsoft Exchange ransomware attack

Un nouvel acteur de menace pirate les serveurs Microsoft Exchange et viole les réseaux d’entreprise en utilisant la vulnérabilité ProxyShell pour déployer le Babuk Ransomware.

Les attaques ProxyShell contre les serveurs Microsoft Exchange vulnérables ont commencé il y a plusieurs mois, LockFile et Conti étant parmi les premiers groupes de ransomware à les exploiter.

Selon un rapport de chercheurs de Talos Cisco, une filiale de Babuk ransomware connue sous le nom de « Tortilla » avait rejoint le club en octobre, lorsque l’acteur a commencé à utiliser le shell Web « China Chopper » sur des serveurs Exchange violés.

Le nom Tortilla est basé sur des exécutables malveillants repérés dans des campagnes utilisant le nom Tortilla.exe.

Commence par Exchange

L’attaque par ransomware Babuk commence par une DLL ou un exécutable .NET déposé sur le serveur Exchange à l’aide de la vulnérabilité ProxyShell.

Le processus de travail Exchange IIS w3wp.exe exécute ensuite cette charge utile malveillante pour exécuter une commande PowerShell obscurcie qui permet de contourner la protection des points de terminaison, en invoquant éventuellement une requête Web pour récupérer un chargeur de charge utile nommé « tortilla.exe ».

Ce chargeur se connectera à ‘pastebin.pl’ et téléchargera une charge utile qui est chargée en mémoire et injectée dans un processus NET Framework, qui crypte finalement l’appareil avec Babuk Ransomware.

Diagramme de la chaîne d'infection
Diagramme de la chaîne d’infection
Source : Cisco

Bien que les analystes de Cisco aient trouvé des preuves de l’exploitation de la vulnérabilité ProxyShell dans la plupart des infections, notamment le shell Web « China Chopper », les données de télémétrie reflètent un large éventail de tentatives d’exploit.

Plus précisément, Tortilla a suivi ces chemins pour supprimer les modules DLL et .NET :

  • Tentative de falsification de demande côté serveur de découverte automatique de Microsoft Exchange
  • Tentative d’exécution de code à distance par injection OGNL Atlassian Confluence
  • Tentative d’exécution de code à distance Apache Struts
  • Accès WordPress wp-config.php via une tentative de traversée de répertoire
  • Tentative de contournement de l’authentification SolarWinds Orion
  • Tentative d’exécution de la commande à distance Oracle WebLogic Server
  • Tentative de désérialisation d’objet Java arbitraire Liferay

Comme ces attaques reposent sur des vulnérabilités corrigées, il est fortement conseillé à tous les administrateurs de mettre à niveau leurs serveurs vers les dernières versions pour éviter qu’ils ne soient exploités lors d’attaques.

Utiliser Babuk dans de nouvelles attaques

Babuk Locker est une opération de ransomware lancée début 2021 lorsqu’elle a commencé à cibler les entreprises et à crypter leurs données lors d’attaques à double extorsion.

Après avoir mené une attaque contre le département de police métropolitaine (MPD) de Washington DC et avoir ressenti la pression des forces de l’ordre américaines, le gang de ransomware a mis fin à ses opérations.

Après la fuite du code source de la première version de Babuk et d’un constructeur sur des forums de piratage, d’autres acteurs de la menace ont commencé à utiliser le ransomware pour lancer leurs propres attaques.

On ne sait pas si Tortilla était une filiale de Babuk à l’époque où le RaaS était actif ou s’ils ont simplement saisi le code source de la souche lorsqu’elle est sortie pour mener de nouvelles attaques.

Cependant, comme la note de rançon utilisée dans ces attaques demande un faible montant de 10 000 $ en Monero, elle n’est probablement pas menée par l’opération Babuk d’origine, qui a exigé un ransomware beaucoup plus important en Bitcoin.

La demande de rançon de Tortilla
La demande de rançon de Tortilla
Source : Cisco

Cibler les États-Unis

Bien que les chercheurs de Talos aient remarqué des attaques en Allemagne, en Thaïlande, au Brésil et au Royaume-Uni, la plupart des cibles de Tortilla sont basées aux États-Unis.

L’adresse IP du serveur de téléchargement est située à Moscou, en Russie, ce qui pourrait indiquer l’origine de ces attaques, mais il n’y a aucune conclusion d’attribution dans le rapport.

De plus, le domaine ‘pastebin.pl’ utilisé pour l’étape de déballage a déjà été abusé par les campagnes de distribution d’AgentTesla et FormBook.

Carte thermique des victimes
Carte thermique des victimes
Source : Cisco

Alors qu’un décrypteur était précédemment publié pour le ransomware Babuk, il ne peut décrypter que les victimes dont les clés privées faisaient partie de la fuite de code source.

Par conséquent, les acteurs de la menace peuvent continuer à utiliser la souche de ransomware Babuk pour lancer leurs propres opérations, comme ce que nous voyons avec l’acteur de la menace Tortilla.