Teksas merkezli bulut bilgi işlem sağlayıcısı Rackspace, şirketin barındırdığı Microsoft Exchange ortamlarını çökerten yakın tarihli bir siber saldırının arkasında Play fidye yazılımı operasyonunun olduğunu doğruladı.
Bu, siber güvenlik firması Crowdstrike tarafından geçen ay yayınlanan ve fidye yazılımı grubu tarafından Microsoft Exchange sunucularını tehlikeye atmak ve bir kurbanın ağlarına erişim elde etmek için kullanılan yeni bir istismarı detaylandıran bir raporu takip ediyor.
Açıklardan yararlanma (OWASSRF olarak adlandırılır), saldırganların Exchange sunucularında uzaktan ayrıcalık yükseltmeye izin veren kritik bir kusuru (CVE-2022-41080) hedefleyerek Microsoft tarafından sağlanan ProxyNotShell URL yeniden yazma azaltmalarını atlamasına izin verdi.
Ayrıca, ProxyNotShell saldırılarında yararlanılan aynı hata olan CVE-2022-41082’yi kötüye kullanarak savunmasız sunucularda uzaktan kod yürütmeyi başardılar.
Crowdstrike raporunda kurbanın adını vermese de, Rackspace yetkilileri yakın tarihli yerel medya röportajlarında ve BleepingComputer’a gönderilen e-postalarda, ağında OWASSRF istismarının bulunduğunu ve geçen ayki fidye yazılımı saldırısının arkasında Play fidye yazılımının bulunduğunu açıkladı.
“Artık bu vakadaki temel nedenin CVE-2022-41080 ile ilişkili bir sıfır gün açığıyla ilgili olduğundan oldukça eminiz. Daha fazla bilgi için CrowdStrike’ın yakın tarihli bir bloguna bakın. Microsoft, CVE-2022-41080’i bir ayrıcalık yükseltme güvenlik açığı olarak açıkladı. Rackspace’in Baş Güvenlik Sorumlusu Karen O’Reilly-Smith, BleepingComputer’a şunları söyledi:
“CrowdStrike’a, bu soruşturma sırasında sıfırıncı gün açığını keşfetmede gösterdikleri kapsamlı çalışma için teşekkür ediyoruz ve bu türlere karşı hep birlikte daha iyi savunma yapabilmek için müşterilerimiz ve güvenlik topluluğundaki meslektaşlarımızla daha ayrıntılı bilgiler paylaşacağız.” Gelecekteki istismarların sayısı.”
Saldırı keşfedildiğinden beri Rackspace, müşterilerine e-postalarını Barındırılan Exchange platformundan Microsoft 365’e taşımaları için ücretsiz lisanslar sağladı.
Şirket ayrıca, otomatikleştirilmiş bir sıra aracılığıyla müşteri portalı aracılığıyla, etkilenen kullanıcılara posta kutularına (2 Aralık’tan önceki Barındırılan Exchange e-posta verilerini içeren) indirme bağlantıları sağlamak için çalışıyor.
Şirket, olay raporu sayfasında “Posta kutularının %50’sinden fazlasını kurtardığımız müşterileri proaktif olarak bilgilendiriyoruz” dedi.
“Kalan verileri portala yüklemek için titizlikle çalışıyoruz. PST dosyaları, indirilebilir hale geldikten sonra 30 gün boyunca müşteri portalı üzerinden erişilebilir olacak.”
Exchange sunucularını Play fidye yazılımı saldırılarına karşı koruyun
CrowdStrike, OWASSRF istismarının Plink ve AnyDesk gibi uzaktan erişim araçlarını Rackspace’in tehlikeye attığı sunuculara bırakmak için kullanıldığını söyledi.
BleepingComputer ayrıca araştırmacılar tarafından çevrimiçi olarak bulunan Play fidye yazılımı araçlarının, büyük olasılıkla saldırılarda kullanılacak olan ConnectWise uzaktan yönetim yazılımını da içerdiğini tespit etti.
Ağlarında şirket içi Microsoft Exchange sunucuları bulunan tüm kuruluşların en son Exchange güvenlik güncellemelerini hemen uygulamaları (Kasım 2022 minimum yama seviyesidir) veya CVE-2022- için yamaları uygulayabilene kadar Outlook Web Access’i (OWA) devre dışı bırakmaları önerilir. 41080.
Play fidye yazılımı operasyonu ilk olarak Haziran 2022’de, ilk kurbanlar BleepingComputer forumlarında yardım istemeye başladıktan sonra fark edildi.
Lansmanından bu yana düzinelerce kurban, dosyalarını şifrelemek için hangi fidye yazılımının kullanıldığını belirlemek için ID Ransomware platformuna fidye notları ve örnekleri yükledi.
Çoğu fidye yazılımı operasyonunun aksine Play çetesi üyeleri, e-postayı bir müzakere kanalı olarak kullanır ve şifreli sistemlere düşen fidye notları içinde kurbanlara bir Tor müzakereleri sayfasına bağlantı sağlamaz.
Ancak, fidye yazılımı yüklerini dağıtmadan önce kurbanlarının ağlarından veri çalıyorlar ve fidye ödenmezse verileri çevrimiçi olarak sızdırmakla tehdit edecekler.
En son Play fidye yazılımı kurbanları arasında Alman H-Hotels otel zinciri, Arjantin’in Córdoba Adliyesi ve Belçika’nın Antwerp şehri yer alıyor.