Aktor ancaman baru meretas server Microsoft Exchange dan menerobos jaringan perusahaan menggunakan kerentanan ProxyShell untuk menyebarkan Ransomware Babuk.
Serangan ProxyShell terhadap server Microsoft Exchange yang rentan dimulai beberapa bulan yang lalu, dengan LockFile dan Conti menjadi salah satu kelompok ransomware pertama yang mengeksploitasinya.
Menurut sebuah laporan oleh para peneliti di Cisco Talos, afiliasi ransomware Babuk yang dikenal sebagai ‘Tortilla’ telah bergabung dengan klub pada bulan Oktober, ketika aktor tersebut mulai menggunakan web shell ‘China Chopper’ di server Exchange yang dilanggar.
Nama Tortilla didasarkan pada executable berbahaya yang terlihat dalam kampanye menggunakan nama Tortilla.exe.
Dimulai dengan Exchange
Serangan ransomware Babuk dimulai dengan DLL, atau .NET executable yang dijatuhkan di server Exchange menggunakan kerentanan ProxyShell. Proses pekerja Exchange IIS w3wp.exe kemudian mengeksekusi muatan berbahaya ini untuk menjalankan perintah PowerShell yang dikaburkan yang menampilkan perlindungan titik akhir yang melewati, yang akhirnya menjalankan permintaan web untuk mengambil pemuat muatan bernama ‘tortilla.exe.’
Pemuat ini akan terhubung ke ‘pastebin.pl’ dan mengunduh muatan yang dimuat ke dalam memori dan disuntikkan ke dalam proses NET Framework, yang pada akhirnya mengenkripsi perangkat dengan Babuk Ransomware.
Meskipun analis Cisco menemukan bukti eksploitasi kerentanan ProxyShell di sebagian besar merupakan infeksi, terutama web shell ‘China Chopper’, data telemetri mencerminkan spektrum luas dari upaya eksploitasi.
Lebih khusus lagi, Tortilla mengikuti jalur ini untuk menghapus modul DLL dan NET:
- Microsoft Exchange menemukan upaya pemalsuan permintaan sisi server secara otomatis
- Upaya eksekusi kode jarak jauh injeksi Atlassian Confluence OGNL
- Upaya eksekusi kode jarak jauh Apache Struts
- Akses wp-config.php WordPress melalui upaya traversal direktori
- Upaya bypass otentikasi SolarWinds Orion
- Upaya eksekusi perintah jarak jauh Oracle WebLogic Server
- Upaya deserialisasi objek Java sewenang-wenang Liferay
Serangan ini bergantung pada kerentanan yang ditambal, maka sangat disarankan agar admin meningkatkan server mereka ke versi terbaru untuk mencegahnya dieksploitasi dalam serangan.
Menggunakan Babuk dalam serangan baru
Babuk Locker adalah operasi ransomware yang diluncurkan pada awal 2021 ketika mulai menargetkan bisnis dan mengenkripsi data mereka dalam serangan pemerasan ganda.
Setelah melakukan serangan terhadap Departemen Kepolisian Metropolitan (MPD) Washinton DC, dan merasakan panas dari penegakan hukum AS, geng ransomware menutup operasi mereka.
Setelah kode sumber untuk versi pertama Babu dan pembuatnya bocor di forum peretasan, pelaku ancaman lainnya mulai memanfaatkan ransomware untuk meluncurkan serangan mereka sendiri.
Tidak jelas apakah Tortilla adalah afiliasi dari Babuk saat RaaS aktif atau apakah mereka hanya mengambil kode sumber strain ketika keluar untuk melakukan serangan baru.
Namun, karena catatan tebusan yang digunakan dalam serangan ini meminta uang $10.000 yang rendah di Monero, kemungkinan itu tidak dilakukan oleh operasi Babuk yang asli, yang menuntut uang tebusan yang jauh lebih besar dalam Bitcoin.
Menargetkan AS
Meskipun peneliti Talos melihat beberapa serangan di Jerman, Thailand, Brasil, dan Inggris, sebagian besar target Tortilla berbasis di AS.
I.P. alamat server unduhan terletak di Moskow, Rusia, yang dapat menunjukkan asal serangan ini, tetapi tidak ada kesimpulan atribusi dalam laporan tersebut. Domain ‘pastebin.pl’ yang digunakan untuk tahap pembongkaran sebelumnya telah disalahgunakan oleh kampanye distribusi AgentTesla dan FormBook.
Meskipun decryptor sebelumnya dirilis untuk ransomware Babuk, ia hanya dapat mendekripsi korban yang kunci pribadinya merupakan bagian dari kebocoran kode sumber.
Oleh karena itu, pelaku ancaman dapat terus menggunakan ransomware Babuk untuk meluncurkan operasi mereka sendiri, seperti ypelaku ancaman Tortilla.
SUMBER : Bleeping Computer