Yeni bir tehdit aktör, Microsoft Exchange sunucularını hackliyor ve Babuk Ransomware'i dağıtmak için Proxyshell güvenlik açığını kullanarak kurumsal ağları ihlal ediyor.
Proxyshell, savunmasız Microsoft Exchange sunucularına karşı saldırılar birkaç ay önce, LockFile ve Conti'nin onları sömürmek için ilk fidyeware grupları arasında yer almaktadır.
Cisco Talos'taki araştırmacıların bir raporuna göre, 'Tortilla' olarak bilinen bir Babuk Ransomware, 'Tortilla' olarak bilinen bir BABUK Ransomware üyesi, aktörün 'Çin Chopper' web kabuğunu ihlal edilen Exchange sunucularında kullanmaya başladığında Ekim ayında katıldı.
Tortilla adı, Tortilla.exe adını kullanarak kampanyalarda görülen kötü niyetli çalışmalara dayanmaktadır.
Babuk Ransomware saldırısı, bir DLL ile başlar veya .NET, Proxyshell güvenlik açığını kullanarak Exchange sunucusunda düştü.
Exchange IIS işçi süreci W3WP.EXE daha sonra bu kötü amaçlı yükleme yükünü, bitiş noktası koruması atlamasını içeren, sonunda 'tortilla.exe adlı bir yük yükleyicisini almak için bir web isteğini çağırmak için bu kötü amaçlı yükleme yükünü yürütür.
Bu yükleyici 'pastebin.pl' adresine bağlanacak ve belleğe yüklenen ve net bir çerçeve işlemine enjekte eden bir yük yükü indirecek ve sonuçta cihazı Babuk Ransomware ile şifrelenir.
Cisco analistleri, çoğu enfeksiyonda proxyshell güvenlik açığı sömürüsünün kanıtlarını bulsa da, özellikle 'Çin Chopper' web kabuğu olan telemetri verileri, geniş bir deneme girişimi spektrumunu yansıtır.
Daha spesifik olarak, Tortilla, DLL ve .NET modüllerini düşürmek için bu yolları takip etti:
Bu saldırıların yamalı güvenlik açıklarına dayandığı için, tüm yöneticilerin sunucularını, saldırılarda sömürülmelerini engellemek için en son sürümlere yükseltmeleri şiddetle tavsiye edilir.
Babuk Locker, 2021'in başında işletmeleri hedeflemeye başladığı ve verilerini çift uzatma saldırılarında şifreleyen bir fidye yazılımı operasyonudur.
Washington DC'nin Metropolitan Emniyet Müdürlüğüne (MPD) bir saldırı yaptıktan sonra ve ABD'nin kolluk kuvvetlerinden ısı hissedin, fidyeware çetesi operasyonlarını kapattı.
Babuk'un ilk sürümü için kaynak kodundan sonra, bir kurucu forumları kesmek için sızdırılmıştı, diğer tehdit aktörleri, kendi saldırılarını başlatmak için fidye yazılımını kullanmaya başladı.
Tortilla, RAA'lar aktif olduğunda ve yeni saldırılar yapıldığında gerginliğin kaynak kodunu yakaladıkları takdirde, tortilla babuk'un bir iştiraki olsaydı belirsizdir.
Bununla birlikte, bu saldırılarda kullanılan fidye notu Monero'da 10.000 ABD Doları olarak düşük olduğunu, muhtemelen Bitcoin'de çok daha büyük fidye yazılımı talep eden orijinal Babuk operasyonu tarafından yapılmamıştır.
Talos araştırmacıları Almanya, Tayland, Brezilya ve U.K'da bazı saldırılar fark etse de, Tortilla'nın hedeflerinin çoğu ABD'dir.
I.P. İndirme sunucusunun adresi, bu saldırıların kökenini gösterebilecek Moskova, Rusya'da bulunur, ancak raporda bir özellik sonuçları yoktur.
Ayrıca, ambalajlama aşamasında kullanılan 'pastebin.pl' alanı daha önce AgentTesla ve Formbook dağıtım kampanyaları tarafından kötüye kullanıldı.
Bir decryptör daha önce Babuk Ransomware için serbest bırakıldığında, yalnızca özel anahtarları kaynak kodun sızıntısının bir parçası olan mağdurları çözebilir.
Bu nedenle, tehdit aktörleri, tortilla tehdit oyuncusu ile gördüklerimiz gibi kendi operasyonlarını başlatmak için Babuk Ransomware suşu kullanmaya devam edebilirler.
Conti Ransomware Şimdi Proxyshell'li Exchange Sunucularını Hackliyor
30.000'den fazla Gitlab sunucusu hala kritik hataya karşı açılmadı
Tüm Windows versiyonları yeni LPE sıfır gün güvenlik açığı tarafından etkilendi
Acil Google Chrome Güncellemesi, saldırılarda kullanılan sıfır günleri düzeltti
Babuk Ransomware Decryptor dosyaları ücretsiz kurtarmak için serbest bırakıldı
Kaynak: Bleeping Computer