BM21-003: Ny attackmetod i MS Exchange kan leda till ransomware

Sårbarhet MS Exchange Blixtmeddelande

En ny attackmetod har upptäckts i Microsoft Exchange, liknande de ProxyShell-sårbarheter som vi tidigare har rapporterat om men som nu kan medföra risk för ransomware.[1]

Den nya attackvektorn påverkar servrar som patchats för den tidigare ProxyShell-sårbarheten, men i ett sent skede och som därför hunnit bli komprometterade. Dessa komprometterade servrar visar sig nu störa befintliga e-posttrådar och skickar infekterade svar med länkar till QakBot/DanaBot/SquirrelWaffle.[2,3]

IOC:er och mer information om skadliga länkar finns tillgängliga.[4]

Vi följer utvecklingen och uppdatera artikeln löpande när vi får mer information om denna nya attackmetod.

Uppdatering 2021-11-16

Vi har rapporter om att detta ransomware nu drabbat flera organisationer i Sverige. I nuläget är vår rekommendation att vara extremt vaksam på e-postmeddelanden som dyker upp oväntat - det kan röra sig om svar i en existerande mejltråd som dyker upp utan förvarning eller långt efter konversationen avslutats, e-postmeddelanden som ser konstiga ut på något sätt eller som innehåller någon typ av bilaga. Hittills har zip-filer använts som modus men detta kan komma att ändras.

Vår rekommendation är att för tillfället vara vara extremt uppmärksam på alla typer av e-postbilagor, framför allt zip-filer, och inte öppna några bilagor alls. Om du är det minsta misstänksam, se till att verifiera filen genom att ta kontakt med avsändaren och/eller informera er it-säkerhetsavdelning. Vi rekommenderar att ni gör en bedömning för er verksamhet om det kan vara nödvändigt att blockera zip-filer i spamfiltret, då denna attackmetod fortsätter att vara ett problem.

Om er organisation har sett indikationer på den här typen av mejl så tar vi gärna emot information om detta. Mejla till cert@cert.se.

Rekommendationer

Att enbart patcha sårbarheten är inte tillräckligt i nuläget. CERT-SE rekommenderar användare som har servrar som visat sig vara komprometterade av de tidigare sårbarheterna i MS Exchange i sin it-miljö att återställa dessa helt och hållet, så snart som möjligt. Var även vaksam på e-postmeddelanden som hänvisar till tidigare mejltrådar, och som hänvisar till länk och/eller bilaga. Fler generella rekommendationer kring ransomware finns även i rapporterna “Öka motståndskraften mot ransomware” [5]. Innehållet i rapporten kan användas för riskanalyser, beslutsunderlag, utbildning och kommunikation på det sätt som bedöms vara lämpligt för den egna verksamheten. Även rapporten “Cybersäkerhet i Sverige – rekommenderade säkerhetsåtgärder” [6] kan användas som stöd, där presenteras tio åtgärdsområden som bör prioriteras.

Källor

[1] https://www.cert.se/2021/08/microsoft-exchange-servrar-skannas-efter-proxyshell-sarbarheter

[2] https://thedfirreport.com/2021/11/15/exchange-exploit-leads-to-domain-wide-ransomware/

[3] https://www.circl.lu/pub/tr-64/

[4] https://www.truesec.com/hub/blog/proxyshell-qbot-and-conti-ransomware-combined-in-a-series-of-cyber-attacks

[5] https://www.informationssakerhet.se/siteassets/nyheter/ransomware/rekommendationer_oka_motstandskraften_mot_ransomware_juni2020_.pdf

[6] https://www.msb.se/contentassets/fe72c449466e4017bd76787762ab9dc5/rapport-cybersakerhet-i-sverige-2020—rekommenderade-sakerhetsatgarder.pdf