I ricercatori di sicurezza hanno avvertito che le aziende affiliate al ransomware Conti stanno sfruttando le vulnerabilità di ProxyShell nell’Exchange Server di Microsoft per attaccare e prendere il controllo delle reti aziendali in remoto.

ProxyShell è una catena di attacco che può essere utilizzata per eseguire comandi casuali in remoto su server Exchange locali senza patch, senza autenticazione.

Il fornitore di sicurezza Sophos osserva che gli affiliati di Conti sembrano aver notevolmente accelerato i loro attacchi, diffondendo il ransomware in poche ore anziché aspettare settimane.

1 minuto

Nel caso di uno dei gruppi di attacchi basati su ProxyShell osservati da Sophos, gli affiliati di Conti sono stati in grado di raggiungere la rete del bersaglio e configurare una web shell remota in meno di un minuto. 4/14

– SophosLabs (@SophosLabs) 3 settembre 2021

Sophos ha affermato che i criminali ransomware installano diverse web shell sui server Exchange, ottenendo rapidamente le credenziali dell’amministratore di dominio per mappare e assumere il controllo dell’intera rete.

In un attacco, gli affiliati di Conti hanno installato due web shell, lo strumento di test di penetrazione Cobalt Strike, il software commerciale di accesso remoto AnyDesk, Atera, Splashtop e Remote Utilities.

Sophos ha aggiunto che entro 48 ore dall’accesso iniziale alle reti della vittima, i criminali di Conte hanno rubato grandi quantità di dati.

Cinque giorni dopo lo spionaggio iniziale, gli affiliati di Conti distribuiranno il ransomware, prendendo di mira in particolare le condivisioni di rete, per crittografare i computer della vittima.

Sophos ha consigliato agli operatori di Exchange Server di applicare patch al software il prima possibile, poiché il rischio di ulteriori attacchi è molto elevato.