Οι θυγατρικές του Lockbit ransomware κρυπτογραφούν τα θύματα μέσω διακομιστών του Microsoft Exchange που έχουν παραβιαστεί χρησιμοποιώντας εκμεταλλεύσεις που στοχεύουν μη επιδιορθωμένα τρωτά σημεία.
Σε τουλάχιστον ένα τέτοιο περιστατικό από τον Ιούλιο του 2022, οι εισβολείς χρησιμοποίησαν ένα κέλυφος ιστού που είχε αναπτυχθεί προηγουμένως σε έναν παραβιασμένο διακομιστή Exchange για να κλιμακώσουν τα δικαιώματα στον διαχειριστή της υπηρεσίας καταλόγου Active Directory, να κλέψουν περίπου 1,3 TB δεδομένων και να κρυπτογραφήσουν συστήματα δικτύου.
Όπως περιγράφεται από τη νοτιοκορεατική εταιρεία κυβερνοασφάλειας AhnLab, της οποίας οι εμπειρογνώμονες της εγκληματολογικής ανάλυσης προσλήφθηκαν για να βοηθήσουν στην έρευνα, χρειάστηκαν οι φορείς απειλών μόνο μια εβδομάδα για να παραβιάσουν τον λογαριασμό διαχειριστή AD από τη στιγμή που ανέβηκε το κέλυφος ιστού.
Η AhnLab λέει ότι οι διακομιστές του Exchange πιθανότατα παραβιάστηκαν χρησιμοποιώντας μια “αγνωστή ευπάθεια zero-day”, δεδομένου ότι το θύμα έλαβε τεχνική υποστήριξη από τη Microsoft για την ανάπτυξη τριμηνιαίων ενημερώσεων κώδικα ασφαλείας μετά από προηγούμενο συμβιβασμό από τον Δεκέμβριο του 2021.
“Μεταξύ των τρωτών σημείων που αποκαλύφθηκαν μετά τον Μάιο, υπήρχαν δεν υπάρχουν αναφορές για τρωτά σημεία που σχετίζονται με απομακρυσμένες εντολές ή δημιουργία αρχείων», εξήγησε η AhnLab.
“Ως εκ τούτου, δεδομένου ότι το WebShell δημιουργήθηκε στις 21 Ιουλίου, αναμένεται ότι ο εισβολέας χρησιμοποίησε μια αδιευκρίνιστη ευπάθεια zero-day.”