Contact
QR code for the current URL

Story Box-ID: 1074862

Sophos Technology GmbH Gustav-Stresemann-Ring 1 65189 Wiesbaden, Germany http://www.sophos.de
Contact Mr Thilo Christ +49 8081 954617

Angriffe mit Conti-Ransomware auf Exchange Server gehen weiter - und werden ständig effizienter

SophosLabs entdecken, dass die Cyberkriminellen sieben Hintertüren bei einer Attacke eingeschleust haben.

(PresseBox) (Wiesbaden, )
Untersuchungen der jüngsten Angriffe auf Exchange Server mit Conti-Ransomware haben ergeben, dass die Cyberkriminellen via ProxyShell auf die Systeme zugreifen. Für die Schwachstellen in Microsoft Exchange wurden in Folge diverse kritische Updates während der letzten Monate veröffentlicht. ProxyShell ist eine Weiterentwicklung der ProxyLogon-Angriffsmethode. In den letzten Monaten hat sich der Exploit bei Ransomware-Angreifern zu einem der wichtigsten Werkzeuge entwickelt – auch bei denjenigen, die die neue LockFile-Ransomware einsetzen, die erstmals im Juli auftauchte.

Mit zunehmendem Wissen über dieser Angriffsmethode hat sich die Verweildauer der Cyberkriminellen vom Start bis hin zur endgültigen Aktivierung der Ransomware auf den Zielnetzwerken von Wochen auf Stunden verkürzt.

Schnelle „effiziente“ Angriffe

Bei einer von Sophos beobachteten ProxyShell-basierten Attacke gelang den Conti-Angreifern in weniger als einer Minute der Zugang zum Netzwerk des Opfers, inklusive der Einrichtung einer Remote-Web-Shell. Drei Minuten später installierten die Kriminellen eine zweite Backup-Web-Shell. Innerhalb von nur 30 Minuten hatten sie eine vollständige Liste der Computer, Domänencontroller und Domänen-Administratoren des Netzwerks erstellt. Nach vier Stunden hatten die Conti-Angreifer die Anmeldedaten der Domänen-Administratorenkonten in Händen und begannen mit der Ausführung von Befehlen. Innerhalb von 48 Stunden nach dem ersten Zugriff exfiltrierten die Angreifer etwa 1 Terabyte an Daten. Nach fünf Tagen setzten sie die Conti-Ransomware im gesamten Netzwerk frei, wobei sie speziell auf einzelne Netzwerkfreigaben auf jedem Computer abzielten.

Böse Hinterlassenschaft: 7 Hintertüren

Im Laufe des Einbruchs installierten die Conti-Angreifer nicht weniger als sieben Hintertüren im Netzwerk: zwei Web-Shells, Cobalt Strike und vier kommerzielle Fernzugriffstools (AnyDesk, Atera, Splashtop und Remote Utilities). Die früh installierten Web-Shells wurden hauptsächlich für den Erstzugang verwendet; Cobalt Strike und AnyDesk sind die primären Tools, die sie für den Rest des Angriffs einsetzten.

Weitere Technische Ausführungen von den Sophos Security-Spezialisten Sean Gallagher und Peter Mackenzie sind unter: https://news.sophos.com/en-us/2021/09/03/conti-affiliates-use-proxyshell-exchange-exploit-in-ransomware-attacks/
The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2024, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.