BM21-003: Ny attackmetod i MS Exchange kan leda till ransomware
En ny attackmetod har upptäckts i Microsoft Exchange, liknande de ProxyShell-sårbarheter som vi tidigare har rapporterat om men som nu kan medföra risk för ransomware.[1]
Den nya attackvektorn påverkar servrar som patchats för den tidigare ProxyShell-sårbarheten, men i ett sent skede och som därför hunnit bli komprometterade. Dessa komprometterade servrar visar sig nu störa befintliga e-posttrådar och skickar infekterade svar med länkar till QakBot/DanaBot/SquirrelWaffle.[2,3]
IOC:er och mer information om skadliga länkar finns tillgängliga.[4]
Vi följer utvecklingen och uppdatera artikeln löpande när vi får mer information om denna nya attackmetod.
Uppdatering 2021-11-16
Vi har rapporter om att detta ransomware nu drabbat flera organisationer i Sverige. I nuläget är vår rekommendation att vara extremt vaksam på e-postmeddelanden som dyker upp oväntat - det kan röra sig om svar i en existerande mejltråd som dyker upp utan förvarning eller långt efter konversationen avslutats, e-postmeddelanden som ser konstiga ut på något sätt eller som innehåller någon typ av bilaga. Hittills har zip-filer använts som modus men detta kan komma att ändras.
Vår rekommendation är att för tillfället vara vara extremt uppmärksam på alla typer av e-postbilagor, framför allt zip-filer, och inte öppna några bilagor alls. Om du är det minsta misstänksam, se till att verifiera filen genom att ta kontakt med avsändaren och/eller informera er it-säkerhetsavdelning. Vi rekommenderar att ni gör en bedömning för er verksamhet om det kan vara nödvändigt att blockera zip-filer i spamfiltret, då denna attackmetod fortsätter att vara ett problem.
Om er organisation har sett indikationer på den här typen av mejl så tar vi gärna emot information om detta. Mejla till cert@cert.se.
Rekommendationer
Att enbart patcha sårbarheten är inte tillräckligt i nuläget. CERT-SE rekommenderar användare som har servrar som visat sig vara komprometterade av de tidigare sårbarheterna i MS Exchange i sin it-miljö att återställa dessa helt och hållet, så snart som möjligt. Var även vaksam på e-postmeddelanden som hänvisar till tidigare mejltrådar, och som hänvisar till länk och/eller bilaga. Fler generella rekommendationer kring ransomware finns även i rapporterna “Öka motståndskraften mot ransomware” [5]. Innehållet i rapporten kan användas för riskanalyser, beslutsunderlag, utbildning och kommunikation på det sätt som bedöms vara lämpligt för den egna verksamheten. Även rapporten “Cybersäkerhet i Sverige – rekommenderade säkerhetsåtgärder” [6] kan användas som stöd, där presenteras tio åtgärdsområden som bör prioriteras.
Källor
[1] https://www.cert.se/2021/08/microsoft-exchange-servrar-skannas-efter-proxyshell-sarbarheter
[2] https://thedfirreport.com/2021/11/15/exchange-exploit-leads-to-domain-wide-ransomware/