Penyedia komputasi awan yang berbasis di Texas, Rackspace, telah mengonfirmasi bahwa operasi ransomware Play berada di belakang serangan dunia maya baru-baru ini yang meruntuhkan lingkungan Microsoft Exchange yang dihosting perusahaan.
Pernyataan ini muncul setelah perusahaan cybersecurity Crowdstrike, merinci eksploit baru yang digunakan oleh grup ransomware untuk mengkompromikan server Microsoft Exchange dan mendapatkan akses ke jaringan korban.
Dikutip dari Bleeping Computer, eksploitasi (dijuluki OWASSRF) memungkinkan penyerang melewati mitigasi penulisan ulang URL ProxyNotShell yang disediakan oleh Microsoft dengan kemungkinan menargetkan kelemahan kritis (CVE-2022-41080) yang memungkinkan eskalasi hak istimewa jarak jauh di server Exchange.
Mereka juga berhasil mendapatkan eksekusi kode jarak jauh pada server yang rentan dengan menyalahgunakan CVE-2022-41082, bug yang sama yang dieksploitasi dalam serangan ProxyNotShell.
Sementara itu, Crowdstrike tidak menyebutkan nama korban dalam laporan mereka, pejabat Rackspace telah mengungkapkan dalam wawancara media lokal baru-baru ini dan mengirim email ke BleepingComputer bahwa eksploitasi OWASSRF ditemukan di jaringannya dan ransomware Play berada di belakang serangan ransomware bulan lalu.
“Kami sekarang sangat yakin bahwa akar penyebab dalam kasus ini berkaitan dengan eksploitasi zero-day yang terkait dengan CVE-2022-41080, Microsoft mengungkapkan CVE-2022-41080 sebagai kerentanan eskalasi hak istimewa dan tidak menyertakan catatan untuk menjadi bagian dari rantai Eksekusi Kode Jarak Jauh yang dapat dieksploitasi,” kata Karen O'Reilly-Smith, Chief Security Officer Rackspace, kepada BleepingComputer.
Sejak serangan itu ditemukan, Rackspace telah memberikan lisensi gratis kepada pelanggan untuk memigrasikan email mereka dari platform Hosted Exchange ke Microsoft 365. Perusahaan juga bekerja untuk menyediakan pengguna yang terpengaruh dengan tautan unduhan ke kotak surat mereka (berisi data email Hosted Exchange sebelum 2 Desember) melalui portal pelanggannya melalui antrean otomatis.
“Kami secara proaktif memberi tahu pelanggan yang telah kami pulihkan lebih dari 50% dari kotak surat mereka, kami masih bekerja dengan cermat untuk mengunggah sisa data ke dalam portal. Setelah tersedia untuk diunduh, file PST akan tersedia melalui portal pelanggan selama 30 hari,” kata Rackspace.
CrowdStrike mengatakan eksploitasi OWASSRF digunakan untuk menjatuhkan alat akses jarak jauh seperti Plink dan AnyDesk di server yang disusupi Rackspace.
BleepingComputer juga menemukan bahwa alat ransomware Play yang ditemukan secara online oleh para peneliti juga berisi perangkat lunak administrasi jarak jauh ConnectWise, yang kemungkinan akan digunakan dalam serangan.
Semua organisasi dengan server Microsoft Exchange lokal di jaringannya disarankan untuk segera menerapkan pembaruan keamanan Exchange terbaru (dengan November 2022 sebagai level patch minimum) atau menonaktifkan Outlook Web Access (OWA) hingga mereka dapat menerapkan patch untuk CVE-2022- 41080.
Sebagai informasi, operasi Play ransomware pertama kali terlihat pada Juni 2022, setelah korban pertama mulai mencari bantuan di forum BleepingComputer. Sejak diluncurkan, puluhan korban telah mengunggah catatan tebusan dan sampel ke platform ID Ransomware untuk mengidentifikasi ransomware apa yang digunakan untuk mengenkripsi file mereka.
Tidak seperti kebanyakan operasi ransomware, afiliasi geng Play menggunakan email sebagai saluran negosiasi dan tidak akan memberi korban tautan ke halaman negosiasi Tor dalam catatan tebusan yang dijatuhkan pada sistem terenkripsi. Namun, mereka mencuri data dari jaringan korbannya sebelum menyebarkan muatan ransomware dan akan mengancam untuk membocorkannya secara online jika tebusan tidak dibayarkan.
Comments
Post a Comment